SACRAMENTO, Californie (AP) – Le ministère de la Justice de Californie a publié par erreur les noms, adresses et anniversaires de près de 200 000 propriétaires d’armes à feu sur Internet parce que les responsables n’ont pas suivi les politiques ou compris comment faire fonctionner leur site Web, selon une enquête publiée mercredi.
L’enquête, menée par un cabinet d’avocats extérieur engagé par le ministère de la Justice de Californie, a révélé que les informations personnelles de 192 000 personnes a été téléchargé 2 734 fois par 507 adresses IP uniques au cours d’une période d’environ 12 heures fin juin. Toutes ces personnes avaient demandé un permis pour porter une arme dissimulée.
Les données ont été exposées quelques jours seulement après la Cour suprême des États-Unis a statué que les gens ont le droit de porter des armes en public. La décision a invalidé une loi californienne qui stipulait que les gens devaient donner une raison de vouloir porter une arme dissimulée, comme une menace pour leur sécurité. Les législateurs ont ensuite tenté d’adopter de nouvelles restrictions pour les permis de transport dissimulés, mais ont échoué.
Les enquêteurs ont déclaré qu’ils « n’ont découvert aucune preuve que le moment de la (violation de données) était motivé par une intention néfaste ou était personnellement ou politiquement motivé de quelque manière que ce soit ». Au lieu de cela, ils ont déclaré que les responsables de l’État prévoyaient de publier ce qu’ils pensaient être des données anonymes « pour répondre à l’intérêt public accru prévu pour les données relatives aux armes à feu » à la suite de la décision du tribunal.
Une violation intentionnelle d’informations personnelles entraîne des amendes et des sanctions plus sévères en vertu de la loi californienne, selon Chuck Michel, avocat et président de la California Rifle & Pistol Association. Michel a déclaré que son groupe préparait un recours collectif contre l’État. Il a noté que les données divulguées comprenaient probablement des informations provenant de personnes occupant des postes sensibles – y compris des juges, des membres des forces de l’ordre et des victimes de violence domestique – qui avaient demandé des permis d’armes à feu.
« Il y a beaucoup de lacunes et de questions sans réponse, peut-être délibérément, et certaines tournent autour de toute cette notion de savoir s’il s’agissait d’une libération intentionnelle ou non », a-t-il déclaré. « Ce n’est pas la fin de l’enquête. »
Le ministère de la Justice a engagé le cabinet d’avocats Morrison Foerster pour enquêter sur l’exposition des données. Le cabinet a déclaré qu’il avait « le mandat et l’autonomie nécessaires pour mener une enquête indépendante qui suivait les faits et les preuves où qu’ils mènent ».
Les responsables du ministère de la Justice de Californie n’étaient pas au courant de la violation jusqu’à ce que quelqu’un envoie au procureur général Rob Bonta un message privé sur Twitter contenant des captures d’écran des informations personnelles pouvant être téléchargées sur le site Web de l’État, selon l’enquête.
Les responsables de l’État ont d’abord pensé que le rapport était un canular. Deux employés anonymes – identifiés uniquement comme « analyste de données 1 » et « directeur du centre de recherche » – ont enquêté et assuré par erreur à tout le monde qu’aucune information personnelle n’était accessible au public.
Pendant ce temps, le site Web s’est écrasé parce que tant de personnes essayaient de télécharger les données. Un autre groupe de fonctionnaires de l’État a travaillé pour remettre le site Web en ligne, ignorant la violation. Ils ont remis le site Web en marche vers 21h30.
Les responsables de l’État ne désactiveraient le site Web que vers midi le lendemain. À ce moment-là, les informations avaient déjà été téléchargées des milliers de fois.
Les responsables de l’État pensaient qu’ils fournissaient des informations anonymes dans l’ensemble pour les recherches et les demandes des médias sur l’utilisation des armes à feu en Californie. Mais l’employé qui a créé le site Web a inclus plusieurs ensembles de données contenant des informations personnelles.
Les enquêteurs ont découvert que personne – ni l’employé qui a compilé les données ni les fonctionnaires qui supervisaient l’employé – ne connaissait les paramètres de sécurité appropriés pour empêcher que les données ne soient disponibles pour le téléchargement public.
« C’était plus qu’une exposition de données, c’était un abus de confiance qui est bien en deçà de mes attentes et des attentes des Californiens envers notre département », a déclaré Bonta, le procureur général, dans un communiqué de presse. « Je reste profondément en colère que cet incident se soit produit et je présente mes plus sincères excuses au nom du ministère de la Justice à ceux qui ont été touchés. »
D’autres informations ont également été publiées par erreur, notamment des données provenant des certificats de sécurité des armes à feu, du registre des ventes du concessionnaire et du registre des armes d’assaut de l’État. Ces données comprenaient les dates de naissance, le sexe et les numéros de permis de conduire de plus de 2 millions de personnes et 8,7 millions de transactions d’armes à feu. Mais les enquêteurs ont déclaré qu’il n’y avait pas suffisamment d’informations dans ces ensembles de données pour identifier qui que ce soit.
Les enquêteurs ont recommandé plus de formation et de planification pour les fonctionnaires de l’État, y compris un examen et une mise à jour des politiques et des procédures.
« Cet échec nécessite une correction immédiate, c’est pourquoi nous mettons en œuvre toutes les recommandations de ce rapport indépendant », a déclaré Bonta.