The Département de l’éducation a reçu un blâme du régulateur britannique de la protection des données après avoir découvert que des sociétés de jeux d’argent avaient été autorisées à accéder aux dossiers d’apprentissage des élèves.
Le site Bureau du commissaire à l’information a lancé cet avertissement à la suite de ce qu’il a appelé une « utilisation abusive prolongée des informations personnelles de près de 28 millions d’enfants ».
Une inspection a révélé que le DfE avait accordé Trust Systems Software UKsous le nom de Trustopiaune société de contrôle de l’emploi, l’accès à la base de données à des fins de vérification de l’âge pour aider les sociétés de jeux d’argent à confirmer que les clients ont plus de 18 ans.
Selon l’ICO, ce partage de données signifie que les informations ne sont pas utilisées pour leur objectif initial, ce qui est contraire à la loi sur la protection des données.
John EdwardsJohn Edwards, commissaire britannique à l’information, a déclaré qu’une amende de 10 millions de livres sterling aurait été justifiée en raison de la gravité de la violation, mais que tout argent ainsi gagné « est reversé au gouvernement et que l’impact aurait donc été minime ».
Un blâme a été adressé au DfE, définissant clairement les mesures qu’il doit prendre pour améliorer ses pratiques en matière de protection des données afin que les données des enfants soient correctement gérées.
L’ICO a découvert que la base de données du service des dossiers d’apprentissage contient des informations personnelles sur 28 millions d’enfants et de jeunes à partir de l’âge de 14 ans. Cette base de données contient le nom complet, les données de naissance et le sexe, avec des champs facultatifs pour l’adresse électronique et la nationalité, ainsi que les résultats d’apprentissage et de formation d’une personne, et est conservée pendant 66 ans.
Au moment de la violation, 12 600 organisations avaient accès à la base de données LRS, notamment des écoles, des collèges, des établissements d’enseignement supérieur et d’autres prestataires de services éducatifs.
Il a été constaté que Trustopia a eu accès à la base de données LRS de septembre 2018 à janvier 2020 et que des recherches sur 22 000 apprenants à des fins de vérification de l’âge ont été effectuées.
« Personne n’a besoin d’être persuadé qu’une base de données des dossiers d’apprentissage des élèves utilisée pour aider les sociétés de jeux d’argent est inacceptable », a commenté John Edwards, commissaire britannique à l’information.
« Notre enquête a révélé que les processus mis en place par le ministère de l’Éducation étaient lamentables. Les données étaient utilisées à mauvais escient, et le ministère ignorait qu’il y avait un problème jusqu’à ce qu’un journal national l’en informe.
« Nous sommes tous en droit d’attendre que les services du gouvernement central traitent les données qu’ils détiennent sur nous avec le plus grand respect et la plus grande sécurité. C’est encore plus vrai lorsqu’il s’agit des informations de 28 millions d’enfants.
« Il s’agit d’une violation grave de la loi, qui aurait justifié une amende de 10 millions de livres dans ce cas précis. J’ai pris la décision de ne pas infliger cette amende, car l’argent des amendes est reversé au gouvernement, et l’impact aurait donc été minime.
« Mais cela ne doit pas faire oublier la gravité des erreurs que nous avons mises en évidence, ni l’urgence pour le ministère de l’éducation de les corriger. »
Suite à l’incident, le DfE a supprimé l’accès de 2 600 organisations à la base de données LRS et aurait également renforcé son processus d’enregistrement.
En outre, l’enquête sur Trustopia a confirmé que l’entreprise n’avait plus accès à la base de données, le cache des données conservées dans des fichiers temporaires ayant été supprimé. Trustopia ayant été dissoute avant la fin de l’enquête de l’ICO, aucune mesure réglementaire n’a pu être prise.
