On n’est pas encore au niveau de l’amende record – 50 millions d’euros – infligés à Google en France en 2019Mais on se rapproche: le gendarme britannique des données personnelles a récemment infligé de lourdes amendes à deux entreprises pour ne pas avoir suffisamment sécurisé leurs données clients.
Le géant américain de l’hôtellerie Marriott a payé les coûts d’une défense informatique insuffisante qui a provoqué la violation de données de 339 millions de personnes. Le British Personal Data Officer (Information Commissioner’s Office, ICO) condamné à une amende de 18,4 millions de livres sterling (soit 20,4 millions d’euros).
Noms, adresses, numéros de passeport
Ces données étaient exactes et confidentielles: elles comprenaient les noms, adresses, numéros de téléphone, adresses e-mail, numéros de passeport et de programme de fidélité, dates de naissance, sexe, ainsi que les dates d’arrivée et de départ à l’hôtel de ses clients. On ne sait toujours pas qui était derrière l’attaque.
Depuis la fin du piratage en septembre 2018, c’est-à-dire avant le Brexit, l’ICO pourrait s’appliquer le règlement européen strict sur la protection des données (RGPD), qui prévoit de lourdes amendes si les défenses informatiques d’une entreprise sont insuffisantes pour empêcher une violation de données. D’autre part, la fuite qui affecte environ 30 millions de citoyens européens, l’ICO a sanctionné l’entreprise au nom de tous les pays de l’UE, dont la France, un mécanisme également fourni par le RGPD. La facture aurait pu être beaucoup plus élevée: l’ICO précise en fait que l’amende ne couvre que les quelques semaines entre l’entrée en vigueur du RGPD, en mai 2018, et la découverte de la cyberattaque. Les premières fuites de données remontent, explique l’ICO, à 2014.
«Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Lorsque l’un d’eux ne parvient pas à le faire, l’impact n’est pas seulement une amende, ce qui importe le plus, ce sont les personnes dont l’entreprise avait le devoir de protéger les données.a déclaré la chef de l’ICO Elizabeth Dunham.
Amende de 22 millions d’euros à British Airways
Il y a deux semaines, l’ICO condamné à une amende de 20 millions de livres (22 millions d’euros) dans une affaire similaire. En 2018, la compagnie aérienne British Airways avait rendu public une cyberattaque ayant provoqué le vol éventuel de données (notamment les noms, adresses et numéros de cartes bancaires) de plus de 400 000 de ses clients et collaborateurs. L’ICO accuse la compagnie aérienne de ne pas avoir appliqué les mesures de sécurité informatique de base qui auraient détecté, voire neutralisé, l’attaque.
Cependant, le montant de l’amende est bien inférieur aux prévisions. L’ICO a initialement condamné une amende de 204 millions d’euros, ce qui aurait rendu cette décision la plus sévère sous les auspices du RGPD.
Enfin, le gendarme britannique des données affirme avoir revu ce montant à la baisse en raison notamment “L’impact économique du Covid-19 sur la santé économique” de l’entreprise. IAG, la société propriétaire de British Airways, a récemment annoncé une perte totale de 5,6 milliards d’euros depuis le début de l’année.
«Nous avons alerté nos clients dès que nous avons appris cette attaque criminelle contre nos systèmes en 2018 et nous regrettons d’avoir déçu leurs attentes. Nous sommes heureux que l’OIC reconnaisse que nous avons fait des progrès significatifs dans la sécurité de nos systèmes depuis cette attaque et que nous avons pleinement coopéré à l’enquête. “, un porte-parole de la compagnie aérienne cité par l’Agence France-Presse a réagi.
“Introverti hardcore. Pionnier de la bière. Amoureux d’Internet. Analyste. Spécialiste de l’alimentation. Passionné de médias sociaux.”