Capita enquêté après une nouvelle fuite de données de retraités : la récidive interroge les DPO

21/4/26
👈 les autres actualités

Le gouvernement britannique a ouvert une enquête visant Capita, l'un des plus gros administrateurs de régimes de retraite du Royaume-Uni, après une nouvelle violation de données personnelles touchant le Civil Service Pension Scheme. Pour le DPO, l'affaire est un cas d'école : second incident en trois ans, sanction ICO déjà lourde en 2025, défaillance de contrôle d'accès côté sous-traitant. Autant de signaux qui obligent à réinterroger la solidité de son propre dispositif d'audit des sous-traitants.

Ce qui s'est passé

Selon les éléments rapportés par The Telegraph et relayés le 9 avril 2026, Capita a confirmé qu'une violation survenue en mars a entraîné l'envoi de 138 relevés annuels de pension aux mauvais destinataires, ou leur consultation par d'autres affiliés du même régime. Concrètement, des retraités ont reçu les déclarations d'autres retraités — ou ont pu accéder à ces documents via leur espace personnel.

Le contexte aggrave l'incident. Capita est déjà sous le feu des critiques des parlementaires britanniques et des syndicats depuis décembre : des milliers de pensions n'ont pas été versées dans les délais, obligeant plusieurs ministères à débloquer près de 4 millions de livres de prêts d'urgence pour les retraités concernés. Le prestataire avait par ailleurs été sanctionné de 14 millions de livres par l'ICO (l'autorité britannique de protection des données) en 2025, à la suite du piratage de 2023 ayant exposé plus de 6 millions de dossiers privés.

L'enquête gouvernementale ouverte porte donc à la fois sur la défaillance opérationnelle (non-paiement des pensions) et sur la récidive en matière de sécurité des données.

Pourquoi c'est important pour tout DPO

Même sans être directement soumis au UK GDPR, ce dossier éclaire trois zones de fragilité que le RGPD sanctionne aussi lourdement. Premièrement, la faille relève de ce que l'article 32 du RGPD qualifie de défaillance des mesures techniques et organisationnelles : un envoi erroné de documents nominatifs ou une ségrégation d'accès défectueuse constituent bien une violation de confidentialité. Deuxièmement, la récidive est un facteur d'aggravation systématique retenu par les autorités de contrôle lorsqu'elles calibrent les sanctions — la CNIL l'a déjà rappelé dans plusieurs délibérations. Troisièmement, Capita agit ici en sous-traitant du régime public : la chaîne de responsabilité entre le responsable de traitement (le régime de retraite) et son prestataire est précisément ce que l'article 28 du RGPD impose d'encadrer par contrat, avec des obligations de sécurité et d'auditabilité précises.

L'incident arrive aussi dans un climat où les violations impliquant des données RH et des régimes de retraite se multiplient. Ces données combinent identification, coordonnées, montants financiers et parfois état de santé — un profil de risque que beaucoup d'entreprises sous-estiment en les confiant à des prestataires historiques sans réaudit régulier.

Ce que ça change pour les organisations

Trois actions concrètes à mettre sur la table de votre prochain comité conformité :

1. Réaudit ciblé des prestataires RH et paye. Tout administrateur de paye, de régime de retraite ou de mutuelle manipule des données sensibles au sens large. Reprenez la liste, vérifiez la date du dernier audit, contrôlez la mise à jour des clauses RGPD et les mesures de ségrégation d'accès. Notre guide sur les enjeux RGPD des données RH détaille les points de vigilance.

2. Plan de réponse aux violations à jour. L'incident Capita illustre un scénario classique : envoi erroné de documents. Le DPO doit disposer d'une procédure documentée pour tracer, qualifier et notifier en moins de 72 heures conformément à l'article 33 du RGPD. Le guide Leto sur la réaction à une violation de données détaille pas à pas les étapes opérationnelles.

3. Contrôles d'accès granulaires dans les portails self-service. Les portails employés ou retraités sont souvent des points faibles : une mauvaise configuration des règles d'autorisation suffit à transformer une interface anodine en canal de fuite massif. Le guide Leto sur la sécurité des données rappelle les contrôles incontournables.

Ce que Leto pense de cette décision

La récidive de Capita rappelle une vérité inconfortable : beaucoup d'organisations sous-traitent leurs obligations RGPD avec la même paresse qu'elles sous-traitent leur paye. Or la sanction de 14 millions de livres de l'ICO n'a pas suffi à reconstruire une culture sécurité — preuve qu'un redressement durable ne se décrète pas, il se pilote. Pour les responsables de traitement français et européens liés à des prestataires de ce type, la leçon est claire : un contrat bien ficelé ne vaut rien sans un audit effectif, régulier et documenté. L'épisode Capita est une invitation à reprendre sa cartographie des sous-traitants dès ce trimestre.

Sources : DataBreaches.net — Capita under investigation after workers hit by pensions data breach ; The Telegraph (article original) ; Information Commissioner's Office (ICO).

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026