Fruit d’une collaboration avec la CNIL, l’autorité britannique de protection des données (ICO), a sanctionné British Airways (22 millions d’euros) et Marriott (20 millions d’euros) suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles.
Manquements à la sécurité
Dans le cas de British Airways, les données d’environ 430 000 personnes, dont les noms, prénoms, adresses et, pour plus de 200 000 d’entre elles, leurs données bancaires (numéros de CB et codes CVV) ont été rendues accessibles.
Concernant le groupe hôtelier Marriott, 339 millions de comptes clients ont été concernés dont 30 millions de comptes européens contenant les noms, prénoms, emails et numéros de passeport.
Dans les deux cas, il s’agit de sociétés traitant de très nombreuses données personnelles et qui disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Si les attaques concernées se sont révélées sophistiquées et menées sur une durée étendue, il n’en reste pas moins que de fortes exigences pèsent sur de tels organismes.
Sécurité des données : un impératif majeur du RGDP
Le RGPD a fait de la sécurité des données un principe général à respecter et créé de nouvelles obligations en la matière. Les manquements peuvent être sanctionnés jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires mondial.
Ces décisions rappellent que la sécurité des données nécessite une vigilance permanente, tout particulièrement pour de tels opérateurs, avec de lourdes conséquences en cas d’infractions.
Une précédente décision de l’autorité de protection allemande sur le fondement de l’obligation de sécurité avait déjà conduit à une amende de près de 10 millions d’euros à l’encontre d’un opérateur télécom. Au-delà de l’amende, de telles sanctions conduisent généralement à d’importants investissements visant à prévenir la répétition des violations de données personnelles et à renforcer la sécurité des organismes.
Ces différentes affaires positionnent clairement le RGPD et les autorités de protection des données comme des acteurs efficaces et à part entière de la cybersécurité, invitant les organismes à une bonne gestion de leur patrimoine informationnel.
Coopération entre autorités de protection des données européennes
En application du mécanisme de coopération prévu par le RGPD, le « guichet unique », les projets de décisions ont été adressés aux autorités européennes de protection des données et ont été minutieusement examinés par la CNIL.
La formation restreinte de la CNIL s’est ainsi prononcée sur les suites à donner. Après des échanges fructueux avec l’ICO, son homologue britannique, la CNIL a approuvé les projets tant s’agissant des manquements retenus que des montants des amendes proposées. Elle a notamment estimé que ces montants substantiels et les plus élevés à ce jour en matière de sécurité étaient proportionnés au regard de la gravité des manquements constatés.
Le « guichet unique » permet ainsi d’aboutir à des décisions majeures à l’égard des traitements mis en œuvre à l’échelle européenne, en mettant en œuvre les mécanismes prévus dans le RGPD. La CNIL continuera à promouvoir et à prendre toute sa part dans la coopération européenne.