Publié le 2025-10-15 11:55:00. Le géant britannique de l’externalisation Capita écope d’une lourde amende de 14 millions de livres sterling après une cyberattaque ayant compromis les données personnelles de près de 7 millions de personnes. Cette sanction de l’autorité de protection des données met en lumière des défaillances sécuritaires graves.
- La société Capita a été condamnée à une amende de 14 millions de livres sterling (environ 16,3 millions d’euros) par le Bureau du commissaire à l’information (ICO) du Royaume-Uni.
- Cette sanction fait suite au vol de données personnelles de 6,6 millions d’individus lors d’une cyberattaque survenue en mars 2023.
- L’ICO a jugé que Capita avait « échoué à garantir la sécurité du traitement des données personnelles, l’exposant à un risque significatif ».
L’amende initiale, fixée à 45 millions de livres sterling (plus de 52 millions d’euros), a été réduite après des négociations entre la société et l’autorité de surveillance. Le dirigeant de Capita, Adolfo Hernández, s’est dit « heureux d’avoir conclu cette affaire et d’être parvenu au règlement d’aujourd’hui », ajoutant que l’entreprise avait « considérablement renforcé » sa résilience en matière de cybersécurité.
Capita, qui fournit des services professionnels et d’externalisation pour les secteurs public et privé, avec un chiffre d’affaires de 2,4 milliards de livres sterling l’an dernier, avait laissé un « pool de données en ligne non sécurisé » accessible après le piratage. Des informations personnelles, y compris des adresses et des images de passeports, avaient ensuite circulé sur le dark web. L’ICO a précisé que des données financières avaient été dérobées, et dans certains cas, des détails de casiers judiciaires avaient été compromis. Plus de 325 des 600 régimes de retraite gérés par Capita ont été affectés.
Le commissaire à l’information, John Edwards, a déploré :
« Capita a manqué à son devoir de protéger les données qui lui ont été confiées par des millions de personnes. L’ampleur de cette violation et son impact auraient pu être évités si des mesures de sécurité suffisantes avaient été mises en place. »
La réduction de l’amende a été justifiée par les améliorations apportées par Capita en matière de cybersécurité, le soutien offert aux personnes concernées, ainsi que les discussions menées avec d’autres régulateurs et le Centre national de cybersécurité (NCSC).
Dans le contexte actuel, cette affaire résonne avec d’autres cyberattaques majeures ayant touché le Royaume-Uni. Le détaillant Co-op a récemment vu les données de ses 6,5 millions de clients dérobées, et d’autres grandes enseignes comme M&S, Harrods et Jaguar Land Rover ont également été victimes de piratages. Le NCSC a d’ailleurs confirmé une augmentation des attaques d’importance nationale cette année, incitant le gouvernement à conseiller aux entreprises de mettre par écrit leurs plans de reprise d’activité en cas de perte d’accès à leurs systèmes informatiques.
Trevor Dearing, de la société de cybersécurité Illumio, a commenté positivement cette sanction :
« Le fait que les entreprises soient tenues financièrement responsables des manquements en matière de protection des données est une bonne chose. Cela envoie au marché le message que les régulateurs sont sérieux et dit aux victimes que leurs données volées comptent. »