La RPGD n’est pas une option, c’est une obligation. British Airways vient de l’apprendre à ses dépends avec une amende de 230 M€.

La législation de l’UE relative au règlement général sur la protection des données (GDPR) a imposé une première amende record – 230 millions de dollars – à British Airways (BA) (voir le communiqué : Intention to fine British Airways £183.39m under GDPR for data breach) pour ne pas avoir protégé les données personnelles liées aux cartes de crédit de 500 000 particuliers. L’amende proposée correspond à 1,5% du chiffre d’affaires 2017 de BA (la violation a eu lieu en septembre 2018). Bien que l’amende soit inférieure à la limite autorisée par le RGPD (4%), la compagnie aérienne ne fera pas face à des amendes supplémentaires de l’UE.

En France, la CNIL avait prononcé en janvier dernier une sanction de 50 millions d’euros à l’encontre de la société Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité (.

Cela fait un peu plus de 13 mois que la RGPD est entrée en vigueur. Les différentes enquêtes dont nous avons publié les résultats dans nos colonnes montrent que les entreprises ont consacré beaucoup de ressources pour se conformer à la réglementation, mais elles ont encore du chemin à faire.

Avant l’amende de British Airways, il y avait eu un peu plus de 200 000 cas d’infractions et de plaintes signalées à ce jour, et environ 55 M€ d’amendes, selon le Comité européen de la protection des données. Environ la moitié seulement des affaires ont été finalisées et clôturées.

Le cas de British Airways

Selon une enquête du bureau du commissaire britannique à l’information (ICO ou Information Commissioner’s Office[1]), British Airways a subi une violation de données qui a redirigé ses clients vers un site frauduleux conçu pour voler les données de leur carte de paiement. Le faux site a permis aux hackers de collecter les données personnelles d’environ 500 000 clients BA sur une période de plus de trois mois (juin à sept. 2018).

Selon l’IOC, la sévérité de l’amende n’est pas due à une violation de la compagnie aérienne, mais à un mauvais niveau de sécurité de BA au moment de la violation. Le rapport affirme que « l’enquête de l’ICO a révélé que différentes informations avaient été compromise par une sécurité médiocre mise en place par l’entreprise, y compris les informations de connexion, de carte de paiement et de réservation de voyage, ainsi que les informations relatives au nom et à l’adresse. »

BA et sa société mère, International Airlines Group, envisagent de faire appel de cette amende. BA a déjà apporté un certain nombre d’améliorations à la sécurité et s’est excusé pour la violation. La compagnie aérienne a également noté qu’à ce jour, il n’existe aucune preuve de fraude ou d’activité frauduleuse sur des comptes liés au piratage.

Autres conclusions du GDPR sur l’année

L’IOC britannique a annoncé une amende de 110 M€ à Marriott pour son incapacité à détecter et à remédier à une violation de données persistante pendant quatre ans

(Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach). L’infraction s’est produite dans le système de réservation Starwood, qui n’est plus en fonctionnement, avant l’acquisition des hôtels Starwood par Marriott. Cela concernait plus de 340 millions de clients dans le monde. Ainsi, l’amende ne représente que 0,6% de ses revenus en 2017. De plus, si 10% du nombre total d’enregistrements d’invités étaient des résidents de la Californie, la sanction potentielle due à la loi sur la protection du consommateur de la Californie (CCPA) était en vigueur au moment de la défaillance pourrait atteindre 300 M$ ou plus.

Les entreprises ont encore beaucoup de chemin à parcourir avant de se conformer pleinement aux réglementations GDPR – sans parler de la CCPA et d’autres lois internationales sur la protection de la vie privée. L’exposition la plus importante provient probablement d’utilisations secondaires de données relatives à la confidentialité, qui dans la plupart des cas n’ont pas été autorisées ou approuvées par les consommateurs. Ces cas d’utilisation dérivés sont des applications telles que les applications d’analyse et de marketing.

 

[1] L’Information Commissioner’s Office est un organisme public non ministériel au Royaume-Uni, qui rend compte directement au Parlement et est financé par le Ministère de la Justice. C’est un bureau de régulation chargé du Data Protection Act de 1998, des Privacy and Electronic Communications Regulations mis en place en 2003 au Royaume-Uni, du Freedom of Information Act (2000) et des Environmental Information Regulations (2004) en Angleterre, au Pays de Galles et en Irlande du Nord (Source : Wikipedia)