Amendes records au Royaume-Uni pour violation des données personnelles
La sécurité des systèmes d’information est vitale.
C’est ce qu’à souhaiter affirmer l’autorité britannique de protection des données (Information Commissionner’s Office - ICO) en condamnant avec fermeté la compagnie aérienne British Airways et le groupe hôtelier Marriott pour manquement à leur obligation de sécurité ayant entrainé des violations de données personnelles.
Ces amendes sont à ce jour les plus élevées jamais prononcées pour manquement à l’obligation de sécurité :
- British Airways écope d’une amende de 20 millions de livres sterling (22 millions d’euros) et
- Mariott d’une amende de 18,4 millions de livres sterling (20 millions d’euros).
Faits
D’une part, en 2018, British Airways a subi une cyberattaque au cours de laquelle les données personnelles d’environ 430 000 personnes ont été rendues accessibles.
Les données concernées étaient notamment les noms, prénoms, adresses et, pour plus de 200 000 personnes, leurs données de cartes bancaires (numéros de CB et codes CVV).
D’autre part, la filiale Starwoord hotels and Resorts Worldwide du groupe hôtelier Marriott a été victime d’une cyberattaque pendant 4 ans, cyberattaque détectée seulement en 2018. Marriott a vu divulguer les comptes clients de 39 millions de personnes dont notamment 30 millions d’européens. Ont ainsi été corrompu les noms, prénoms, e-mails et numéros de passeport des clients.
Solution
Afin d’établir une sanction adaptée, l’ICO a coopéré avec les autres autorités européennes de protection des données, conformément au mécanisme de « guichet unique » prévu par le RGPD.
Les deux dossiers concernant tous deux un manquement à l’obligation de sécurité, l’amende encourue était de 2 % du chiffre d’affaires ou 10 millions d’euros, le montant le plus élevé l’emportant, conformément au RGPD.
L’ICO a considéré que British Airways et Marriott ont toutes deux manqué à leur obligation de sécurité en ne mettant pas en œuvre toutes les mesures techniques et organisationnelles de nature à garantir la sécurité des données personnelles qu’elles traitaient.
L’ICO souligne par exemple que British Airways aurait pu détecter voire neutraliser la cyberattaque si elle avait :
- limiter l'accès aux applications, aux données et aux outils à ce qui est nécessaire pour remplir le rôle d'un utilisateur ;
- effectuer des tests rigoureux, sous la forme de simulation d'une cyberattaque, sur les systèmes de l'entreprise ;
- protéger les comptes des employés et des tiers par une authentification à plusieurs facteurs.
Ces décisions montrent donc l’importance du respect des règles d’hygiène de cybersécurité et illustrent la capacité de coopération des autorités européennes de protection des données.
Sources :
https://www.cnil.fr/fr/cybersecurite-ico-en-cooperation-avec-la-cnil-inflige-amendes-record