Les autorités de contrôle sortent les crocs !

Concernant le groupe hôtelier Marriott, 339 millions de comptes clients ont été concernés dont 30 millions de comptes européens contenant les noms, prénoms, emails et numéros de passeport.

Dans les deux cas, il s’agit de sociétés traitant de très nombreuses données personnelles et qui disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Si les attaques concernées se sont révélées sophistiquées et menées sur une durée étendue, il n’en reste pas moins que de fortes exigences pèsent sur de tels organismes.

Le RGPD a fait de la sécurité des données un principe général à respecter et créé de nouvelles obligations en la matière. Les manquements peuvent être sanctionnés jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires mondial.

Ces décisions rappellent que la sécurité des données nécessite une vigilance permanente, tout particulièrement pour de tels opérateurs, avec de lourdes conséquences en cas d’infractions.

Une précédente décision de l’autorité de protection allemande sur le fondement de l’obligation de sécurité avait déjà conduit à une amende de près de 10 millions d’euros à l’encontre d’un opérateur télécom. Au-delà de l’amende, de telles sanctions conduisent généralement à d’importants investissements visant à prévenir la répétition des violations de données personnelles et à renforcer la sécurité des organismes.

Ces différentes affaires positionnent clairement le RGPD et les autorités de protection des données comme des acteurs efficaces et à part entière de la cybersécurité, invitant les organismes à une bonne gestion de leur patrimoine informationnel.

Source : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/