Première erreur - Le 15 décembre dernier, l'étourdi a laissé, dans un avion, un cd-rom contenant les noms, prénoms, numéros de sécurité sociale et montants des participations des employés dans leur entreprise. Plus de 9.000 fiches individuelles seraient ainsi dans la nature

Deuxième erreur - Les données n'étaient pas encryptées ! Cela peut sembler aberrant, mais aucune précaution particulière n'avait été prise afin de transporter dans les meilleures conditions ces informations à caractère sensibles.

Troisième erreur - L'auditeur incriminé n'a averti sa direction que le 8 Janvier. Deloitte a informé son client McAfee le 11 Janvier, mais McAfee a dû attendre le 30 Janvier pour savoir ce que contenait réellement le cd-rom perdu. Transferts de responsabilités et peur de perdre un client expliquent la rétention d'information, une attitude qui a réduit les chances de remettre la main sur les données...

Comme dans beaucoup de cas similaires, une suite de négligences est à l'origine de l'incident.

Heureusement pour les employés de McAfee, leur entreprise a souscrit une assurance leur garantissant gratuitement, durant deux ans, un service de surveillance de leurs comptes bancaires (contrats avec Equifax et MacDermott).

Cette affaire s'ajoute à une longue série. Ces douze derniers mois, la « Privacy Rights Clearinghouse » a comptabilisé pas moins de 53 millions de cas de données personnelles ayant échappé à leurs propriétaires (perte ou vol)

Pourquoi de telles affaires n'arrivent-elle pas en France ? Ne soyons pas naïfs ; il est évident que ce genre d'incidents survient chez nous aussi. Cependant, à la différence de leurs consoeurs californiennes, les entreprises françaises n'ont pas obligation d'avertir leurs clients en cas de pertes ou vol de données personnelles. Nous en sommes encore à l'adage : « pas vu, pas pris ».