L’information Commissioner’s Office (ICO), en coopération avec son homologue français la Commission Nationale Informatique et Libertés (CNIL), a sanctionné en fin du mois d’octobre deux organismes à des amendes approchant les 20 millions d’euros.
Le premier organisme concerné est British Airways, la compagnie aérienne nationale du Royaume-Uni, dont la sanction à une amende de 20 millions de livre-sterlings (environ 22 millions d’euros) a été rendue publique le 16 octobre 2020.
British Airways était accusé d’avoir poursuivi des traitements de données à caractère personnel après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) sans avoir mis en œuvre de mesures de sécurité suffisantes afin de garantir l’intégrité des données.
Victime d’une cyber-attaque qu’il a mis plus de 2 mois à détecter, British Airways n’a , selon l’ICO, ni respecté les dispositions légales et réglementaires de protection des données personnelles alors en vigueur, ni respecté la confiance de ses usagers et traitant leurs données sans mesure adéquate pour assurer leur confidentialité.
En l’espèce, c’est un peu plus de 400 000 usagers qui auraient été concernés.
Pour rappel, l’aéroport de Londres-Heathrow, hub principal de British Airways, avait déjà été condamné par l’ICO fin 2018 à une sanction de plus de 120 000 livre-sterlings en raison d’une violation de données constatée courant 2017.
Second organisme concerné, le géant hôtelier américain Marriott International, dont la sanction à une amende de 18,4 millions de livre-sterlings (environ 20 millions d’euros) a été rendue publique le 30 octobre 2020.
Marriott International est accusé d’avoir tardé à mettre en œuvre les mesures de sécurité nécessaires à protéger les données personnelles de ses clients.
L’ICO fait cependant preuve de pragmatisme dans sa décision en limitant le montant de l’amende (l’ICO préconisait dans un premier temps, en juillet 2019, une amende d’un montant de 99 millions de livre-sterlings) alors que ce sont plus de 300 millions de clients qui seraient concernés par une violation de données étalée sur 4 ans (2014 – 2018). En effet, cette violation atteignait à l’origine une entreprise tierce (Starwood Hotels & Resorts Worldwide) rachetée par Marriott en 2016. L’ICO considère de plus que Marriott a agi suffisamment rapidement et sérieusement lors de la prise de connaissance de la violation de données en 2018 pour limiter les risques encore encourus par les personnes concernés par la violation de données et améliorer ses mesures de sécurité.
Pour rappel, l’obligation de sécurité des données à caractère personnel est prévue aux articles 24 à 28 du RGPD : tout organisme intervenant dans le traitement de données à caractère personnel (Responsable de traitement, Co-responsable de traitement, Sous-traitant) doit justifier de la mise en œuvre de mesures de sécurité techniques et organisationnelles dans le but de protéger les données personnelles traitées. Pour tout nouveau traitement de données depuis mai 2018, la mise en œuvre de ces mesures est obligatoire dès le lancement du traitement des données.
Sources :
https://bit.ly/3exuky0
https://bit.ly/32bXhKU
https://bit.ly/3jXcG7Q