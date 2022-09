New York

CNN Affaires

Les régulateurs fédéraux ont accusé mardi Morgan Stanley de défaillances “étonnantes” qui ont conduit à la mauvaise gestion de données sensibles sur quelque 15 millions de clients.

Morgan Stanley a été condamné à une amende de 35 millions de dollars par la Securities and Exchange Commission pour des manquements importants à la protection des informations d’identification personnelle de ses clients.

Depuis au moins 2015, Morgan Stanley ne s’est pas correctement débarrassé des appareils contenant des données clients sensibles, selon le règlement.

Dans un épisode décrit par la SEC, Morgan Stanley a embauché une entreprise de déménagement – qui n’avait “aucune expérience ni expertise” dans la destruction de données – pour mettre hors service des milliers de disques durs et de serveurs contenant les données des clients.

Cette entreprise de déménagement a ensuite vendu des milliers d’appareils Morgan Stanley, dont certains contenaient des informations d’identification personnelle, à un tiers, a déclaré la SEC.

Ces appareils ont finalement été revendus sur un site d’enchères sur Internet – sans suppression des données sensibles, selon le règlement.

Morgan Stanley a pu récupérer certains de ces appareils, qui contenaient “des milliers de données client non cryptées”, a déclaré la SEC.

“La firme n’a pas récupéré la grande majorité des appareils”, selon le règlement.

Les “échecs de Morgan Stanley dans cette affaire sont étonnants”, a déclaré Gurbir Grewal, directeur de la division de l’application de la SEC, dans un communiqué. “Si elles ne sont pas correctement protégées, ces informations sensibles peuvent se retrouver entre de mauvaises mains et avoir des conséquences désastreuses pour les investisseurs.”

Au-delà des serveurs et des disques durs, la SEC a constaté que Morgan Stanley n’avait pas réussi à protéger les données des clients et à éliminer correctement les informations des rapports des consommateurs par d’autres moyens, notamment lorsque l’entreprise a fermé les serveurs des bureaux locaux et des succursales. Le règlement indiquait qu’un examen de Morgan Stanley avait révélé que 42 serveurs, contenant tous potentiellement des données non cryptées et des informations sur les rapports des consommateurs, étaient “manquants”.

Morgan Stanley a accepté de payer l’amende sans admettre ni nier les conclusions du règlement.

Dans un communiqué, Morgan Stanley s’est dit satisfait d’avoir résolu ce problème et s’est dit convaincu qu’aucune donnée sensible n’a été exploitée.

“Nous avons précédemment informé les clients concernés de ces problèmes, qui se sont produits il y a plusieurs années, et n’avons détecté aucun accès non autorisé ou utilisation abusive des informations personnelles des clients”, a déclaré Morgan Stanley dans le communiqué.