La cyberattaque qui a frappé un logiciel de transfert de fichiers met en lumière la responsabilité des promoteurs de régimes advenant une fuite de données.
En juin dernier, un groupe de pirates russes a dévoilé avoir mis la main sur d’immenses quantités de données qui transitaient par MoveIt, un logiciel de transfert sécurisé de fichiers utilisé par des milliers d’entreprises dans le monde entier. Parmi les données volées, les fraudeurs se sont emparés des données personnelles de millions de participants à des régimes américains de retraite publics et privés.
Ce vol de données pourrait bien mettre en lumière les risques auxquels s’exposent les promoteurs de régimes en cas de piratage des données des participants, pointe Pensions & Investments.
Au moins 3,8 millions de participants à des régimes de retraite publics et privés ont été touchés.
Même si aucun promoteur américain n’a encore été poursuivi, cela pourrait n’être qu’une question de temps. Mais un tribunal pourrait bien examiner ce qu’a fait le promoteur du régime pour déterminer si des mesures de protection adéquates ont été mises en place, affirme Carol Buckmann, associée fondatrice du cabinet Cohen & Buckmann PC à New York, citée par le média.
De son côté, le Département américain du Travail a précisé ses attentes à l’égard des promoteurs de régimes de retraite et de leurs fournisseurs: il s’est dit préoccupé des questions que les promoteurs de régimes posent à leurs fournisseurs de services, et quel processus ils suivent avant de leur accorder leur confiance. Il est du devoir fiduciaire du promoteur d’évaluer ses fournisseurs de service, met en garde le Département du Travail.
Les promoteurs de régimes pourraient être tenus pour responsables, même si la violation s’est produite au plus profond de la chaîne des fournisseurs. Ils pourraient être poursuivis au motif qu’ils ont manqué à leurs responsabilités fiduciaires en ne contrôlant pas correctement les prestataires de services, et en n’enquêtant pas sur leurs pratiques avant qu’ils ne soient engagés.