Le régulateur britannique de la protection des données a réprimandé le ministère de l’Éducation pour avoir donné un accès inapproprié aux informations d’identification sur jusqu’à 28 millions d’enfants, qui ont été utilisées pour effectuer des vérifications d’âge pour les sociétés de jeux.
Le DfE a donné à une société de filtrage d’emploi opérant sous le nom de Trustopia l’accès à une base de données gouvernementale sur les enfants âgés de 14 ans et plus connue sous le nom de Learning Records Service entre 2018 et 2020, en violation de la loi sur la protection des données, a constaté le bureau du commissaire à l’information dans un rapport publié dimanche. .
« Personne n’a besoin de persuader qu’une base de données des dossiers d’apprentissage des élèves utilisée pour aider les sociétés de jeux d’argent est inacceptable », a déclaré John Edwards, commissaire à l’information. Il a décrit les processus du ministère concernant l’accès aux données à l’époque comme « lamentables ».
La « grave violation de la loi » aurait entraîné une amende de 10 millions de livres sterling sans la réticence de l’ICO à faire pression sur les flux de trésorerie des organismes du secteur public, a déclaré Edwards.
Dimanche marque dix ans depuis que le secrétaire à l’éducation de l’époque, Michael Gove, a annoncé qu’il autoriserait le DfE à partager des données à des fins plus variées qu’auparavant. Mais le département n’a depuis pas répondu aux attentes légales, selon des audits officiels.
En 2020, un audit de l’ICO a révélé que le DfE n’avait pas respecté les règles de protection des données dans le traitement des données de millions d’enfants, concluant qu’il n’avait « aucune surveillance proactive formelle » de la gouvernance de l’information, de la protection des données et de la gestion des risques. Il a formulé 139 recommandations pour que le ministère s’améliore.
La société de sélection d’emploi Trust Systems Software Limited, un ancien fournisseur de formation, a utilisé les données du DfE pour vendre des services, a annoncé vendredi l’ICO. L’un de ses clients était la société de renseignement sur les données GB Group, qui a utilisé les données pour vérifier si les personnes ouvrant des comptes de jeu en ligne avaient 18 ans, a déclaré l’ICO. Le groupe GB a refusé de commenter.
Depuis l’incident de 2020, le département de l’éducation a révoqué l’accès à 2 600 des 12 600 organisations qui avaient accès à la base de données. Il enregistre le nom complet, la date de naissance, le sexe et les résultats de formation des enfants à partir de 14 ans, avec des champs facultatifs pour l’adresse e-mail et la nationalité.
Bien que l’ICO ait reconnu que le DfE avait agi pour remédier à ses lacunes en matière de protection des données, il a demandé au département d’apporter de nouvelles modifications pour améliorer sa gouvernance de l’information. Ils comprenaient l’examen de la sécurité interne, la formation du personnel et l’amélioration de la transparence afin que les familles comprennent comment leurs données seraient utilisées.
Le DfE a déclaré que le département prenait la sécurité des données « extrêmement au sérieux » et avait travaillé en étroite collaboration avec l’ICO pour s’assurer que la surveillance de l’accès aux données était améliorée. Il présentera les progrès détaillés sur les recommandations de l’OIC d’ici la fin de l’année.
Mais l’association caritative pour les droits des enfants Defend Digital Me a menacé ce mois-ci de poursuites judiciaires contre le DfE, arguant que le département n’avait pas montré qu’il prenait les mesures appropriées pour répondre aux demandes de l’ICO.
La directrice Jen Persson a déclaré que le gouvernement n’avait « pas assumé la responsabilité de son rôle dans la commercialisation imprudente » des données.
« Les familles confient la sécurité de nos enfants aux écoles pour obtenir une éducation, mais le gouvernement a transformé une génération de dossiers d’apprenants en un produit sans notre permission, et sans se soucier du prix que nous pourrions payer en usurpation d’identité, risque d’utilisation pour le chantage , traquer ou donner ou vendre l’accès à d’autres tiers comme les sociétés de jeux d’argent », a-t-elle déclaré.
Persson a également fait part de ses inquiétudes quant au fait que le DfE va de l’avant avec un nouveau suivi quotidien de la fréquentation. Il a été introduit cette année pour collecter des informations plus complètes et à jour sur le moment où les enfants sont à l’école, malgré les inquiétudes de l’OIC concernant ses évaluations des risques.
Le DfE a déclaré qu’il avait « pris toutes les mesures requises en vertu des lois sur la protection des données en ce qui concerne le pilote, et s’est engagé volontairement avec l’ICO pour . . . prendre des mesures pour traiter les domaines limités où des préoccupations ont été soulevées ».
Les anciens administrateurs de Trustopia n’ont pas pu être joints pour commenter.