ICO récupère 118 852 £ auprès de deux ex-salariées du RAC

Résumé — Le 4 juin 2026, l’Information Commissioner’s Office (ICO, Royaume‑Uni) a annoncé des confiscations totalisant 118 852,32 £ contre deux ex‑salariées du RAC, après leur condamnation pour revente illégale de données issues des systèmes internes.

Les faits

La Manchester Crown Court a ordonné, au titre du Proceeds of Crime Act (POCA), le paiement de 85 727,32 £ (plus 3 550 £ de frais) par Debbie Okparavero (Salford) et de 33 125,00 £ (plus 2 797,50 £ de frais) par Maliha Islam (Manchester), soit 118 852,32 £ au total. L’ICO précise qu’une confiscation de 33 125,00 £ a déjà été réglée (ordonnance de novembre 2025) et que l’autre doit être payée sous trois mois, faute de quoi 18 mois d’emprisonnement seront purgés.

Ces décisions font suite à leur condamnation du 8 octobre 2024 (Minshull Street Crown Court) à six mois de prison avec sursis et 150 heures de travail d’intérêt général, après aveux de complot d’infractions à la Computer Misuse Act 1990 (s.1) et au Data Protection Act 2018, pour avoir copié et vendu « près de 30 000 lignes d’informations personnelles ».

Cadre légal et fondement

• Infractions pénales initiales : accès non autorisé (Computer Misuse Act 1990, s.1) et obtention/divulgation illicite de données personnelles (logique de l’art. 170 DPA 2018), avec condamnation pénale en octobre 2024.
• Mesures financières POCA : confiscations prononcées en novembre 2025 et mai‑juin 2026, fondées sur l’évaluation judiciaire du bénéfice tiré de l’activité illégale.

Par analogie pour l’UE/Luxembourg, l’affaire illustre les exigences de sécurité et de gouvernance du RGPD (art. 5(1)(f), 24, 32) face au risque d’insider. En cas d’incident similaire, s’appliqueraient les obligations de notification prévues par le RGPD (art. 33 sous 72 h et, en cas de risque élevé, information des personnes, art. 34).

Ce que cela change pour les entreprises luxembourgeoises

• Le risque ne vient pas seulement d’attaques externes : un compte interne peut exfiltrer un volume massif de données si les contrôles d’accès, la séparation des tâches et la journalisation sont insuffisants.
• Les autorités privilégient le retrait des profits du crime. Dans l’UE, des contrôles porteront sur l’authentification forte, la journalisation, la prévention d’exfiltration (DLP) et la supervision des comptes à privilèges, attendus par l’article 32 RGPD et, pour le secteur financier, par les exigences DORA.
• Les groupes opérant au Royaume‑Uni doivent anticiper l’usage des pouvoirs POCA au‑delà de la peine initiale et s’assurer que leurs politiques internes facilitent la détection, le signalement et la coopération avec les autorités.

Actions concrètes à entreprendre

• Cartographier les données « monétisables » et instaurer des contrôles need‑to‑know avec journaux inviolables; programmer des alertes UEBA sur les extractions anormales. Un audit de sécurité et de journalisation aide à combler rapidement les écarts.
• Réduire l’exfiltration: DLP sur messagerie/endpoints/navigateurs, quotas/alertes sur exports CSV, blocage des périphériques non approuvés, filigrane sur extractions sensibles; renforcer la détection d’exfiltration via un SOC managé.
• Gouvernance RH‑Sécu‑Juridique: clauses disciplinaires, séparation des tâches en call centers/back‑office, revues trimestrielles des droits, campagnes « insider threat », plan de réponse et notifications testés; pour les acteurs financiers, aligner ces mesures sur les exigences DORA de résilience opérationnelle.

À retenir

L’affaire RAC confirme que la menace interne peut générer des bénéfices illicites significatifs et que les autorités poursuivent leur recouvrement. La combinaison de contrôles d’accès fins, d’une surveillance continue et d’une gouvernance claire reste la meilleure défense.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.