Les régulateurs américains ont infligé une amende de 35 millions de dollars à Morgan Stanley pour un manquement “étonnant” à la protection des données des clients, ce qui a entraîné la vente aux enchères en ligne de matériel informatique contenant des données sensibles des clients.

La Securities and Exchange Commission des États-Unis a déclaré mardi que l’activité de gestion de patrimoine de la banque de Wall Street n’avait pas réussi à protéger les informations identifiant environ 15 millions de clients sur une période de cinq ans.

Depuis au moins 2015, la banque, qui a accepté de régler les accusations sans admettre ni nier les accusations, n’a pas correctement éliminé les appareils stockant les données personnelles des clients, selon la SEC.

Morgan Stanley a embauché une entreprise de déménagement qui n’était pas spécialisée dans la suppression de données et l’a chargée de désactiver des milliers de serveurs et de disques durs, a indiqué l’agence.

L’entreprise de déménagement a ensuite vendu des milliers d’appareils de la banque, dont certains contenaient des données clients, à un tiers avant qu’ils ne soient finalement revendus sur un site d’enchères en ligne. La banque a récupéré une partie mais pas la plupart des équipements, a indiqué la SEC.

Les autorités ont également constaté que Morgan Stanley n’avait pas protégé les données de ses clients lors de la fermeture de certains serveurs de son réseau. Au cours de cette procédure, la banque s’est rendu compte que 42 serveurs susceptibles d’avoir stocké les informations personnelles non cryptées des clients manquaient.

Morgan Stanley n’a pas immédiatement répondu à une demande de commentaire.

Le directeur de la division d’exécution de la SEC, Gurbir Grewal, a qualifié les manquements de Morgan Stanley d’« étonnants ».

“L’action d’aujourd’hui envoie un message clair aux institutions financières qu’elles doivent prendre au sérieux leur obligation de protéger ces données”, a déclaré Grewal dans un communiqué.

La sanction est nettement supérieure à l’amende de 1 million de dollars que l’entreprise de gestion de patrimoine a accepté de payer à la SEC en 2016 pour une infraction similaire. La même division est également parvenue à un règlement dans le cadre d’un recours collectif pour violation de données, une résolution qui comprenait la création d’un fonds de 60 millions de dollars pour indemniser les victimes.

Morgan Stanley a pris une participation majoritaire dans l’activité de gestion de patrimoine Smith Barney de Citigroup en 2009 avant de procéder à un rachat complet en 2012.

La division a constitué la pièce maîtresse de la poussée de Morgan Stanley dans la gestion de patrimoine et de ses efforts pour réduire sa dépendance à l’égard de la banque d’investissement et du commerce.

La décision contre Morgan Stanley intervient alors que la SEC intensifie l’examen des pratiques de tenue de registres de Wall Street. L’agence a lancé une enquête sur le stockage des communications qui s’est répandue dans le secteur bancaire, les prêteurs se préparant à payer plus d’un milliard de dollars de pénalités à la SEC et à la Commodity and Futures Trading Commission.

En décembre, JPMorgan a accepté de verser aux régulateurs américains un montant record de 200 millions de dollars pour avoir omis de conserver les enregistrements des communications des employés sur les appareils personnels.



ttn-fr-56