Les autorités de contrôle sortent les crocs !
L’autorité de protection des données britannique, conjointement avec la CNIL, a infligé deux lourdes sanctions à British Airways et à Marriott. Pour les deux sanctions il s’agit de manquements grave à la sécurité des données.
Ces amendes, de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott, font suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles.
Dans le cas de British Airways, les données d’environ 430 000 personnes, dont les noms, prénoms, adresses et, pour plus de 200 000 d’entre elles, leurs données bancaires (numéros de CB et codes CVV) ont été rendues accessibles.
Concernant le groupe hôtelier Marriott, 339 millions de comptes clients ont été concernés dont 30 millions de comptes européens contenant les noms, prénoms, emails et numéros de passeport.
Dans les deux cas, il s’agit de sociétés traitant de très nombreuses données personnelles et qui disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Si les attaques concernées se sont révélées sophistiquées et menées sur une durée étendue, il n’en reste pas moins que de fortes exigences pèsent sur de tels organismes.
Le RGPD a fait de la sécurité des données un principe général à respecter et créé de nouvelles obligations en la matière. Les manquements peuvent être sanctionnés jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires mondial.
Ces décisions rappellent que la sécurité des données nécessite une vigilance permanente, tout particulièrement pour de tels opérateurs, avec de lourdes conséquences en cas d’infractions.
Une précédente décision de l’autorité de protection allemande sur le fondement de l’obligation de sécurité avait déjà conduit à une amende de près de 10 millions d’euros à l’encontre d’un opérateur télécom. Au-delà de l’amende, de telles sanctions conduisent généralement à d’importants investissements visant à prévenir la répétition des violations de données personnelles et à renforcer la sécurité des organismes.
Ces différentes affaires positionnent clairement le RGPD et les autorités de protection des données comme des acteurs efficaces et à part entière de la cybersécurité, invitant les organismes à une bonne gestion de leur patrimoine informationnel.