Sanctions RGPD : Marriott et British Airways épinglés par la CNIL britannique

Depuis mai 2018, le règlement européen sur la protection des données (RGPD) est officiellement entré en vigueur. Si quelques amendes ont été infligées au cours des derniers mois, le rythme semble s’accélérer. La sanction en début d’année, alors record, de 50 millions d’euros à l’encontre de Google n’est plus qu’un lointain souvenir. Deux entreprises viennent d’écoper d’amendes qui, cumulées, dépassent les 300 millions d’euros. Les sanctions RGPD peuvent être lourdes de conséquences.

Début 2019, la CNIL (Commission nationale de l’informatique et des libertés) a infligé une sanction administrative de 50 millions d’euros à Google. Il était alors reproché au groupe américain de ne pas informer clairement ses utilisateurs concernant leur consentement quant à l’utilisation de leurs données personnelles.

Renforcer les droits des Européens

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels. Il permet de développer leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs. En cas de non-respect, le montant des sanctions prévues par le Règlement européen peut être très élevé.

RGPD : des sanctions lourdes prévues par le règlement

Lorsque des manquements au RGPD sont portés à sa connaissance, la formation restreinte de la CNIL peut :

• Prononcer un rappel à l’ordre ;
• Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
• Prononcer une amende administrative.

Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre annuel mondial.

RGPD : des sanctions supérieures à 100 millions d’euros

Récemment, deux entreprises ont fait l’expérience des sanctions pécuniaires prévues par le RGPD. A commencer par la compagnie aérienne British Airways. La CNIL britannique (ICO – Information Commissioner Office) a infligé à l’entreprise une amende de 183 millions de livres sterling (soit environ 200 millions d’euros). Cette amende représente 1,5% du chiffre d’affaire de la compagnie pour l’année 2017.

British Airways a été sanctionnée pour un incident de sécurité notifié à l’ICO en septembre 2018. L’entreprise avait révélé avoir été touchée par une cyberattaque durant l’été 2018 suite à une faille informatique. Selon l’ICO, les données d’environ 500 000 clients auraient été compromises. Il s’agissait des noms, des adresses, des identifiants de connexion et des informations de réservation. La cyberattaque a eu pour conséquence le vol de données financières qui pouvait concerner plus de 300 000 cartes de paiement. La CNIL britannique a estimé que cet incident était dû à de « mauvais systèmes de sécurité dans l’entreprise ».

« Les données personnelles sont par définition personnelles. Lorsqu’une entreprise faillit à les protéger, c’est plus qu’une simple gêne. C’est pour ce motif que la loi est claire : lorsque des clients vous font confiance avec leurs données, vous devez en prendre soin. Ceux qui ne le font pas seront examinés à la loupe par nos bureaux pour s’assurer que les mesures nécessaires ont été prises pour protéger les droits fondamentaux de la vie privée », a déclaré Elizabeth Denham, responsable de l’ICO.

Le PDG de British Airways n’a pas caché sa déception suite à l’annonce de la sanction infligée par l’ICO. « British Airways a répondu rapidement à l’acte criminel du vol des données de ses clients. Aucune preuve d’activité frauduleuse sur les comptes touchés par ce vol n’a été trouvée », a-t-il indiqué dans un communiqué.

Les données de 339 millions de personnes compromises

La compagnie aérienne n’est pas la seule à avoir écopé d’une lourde amende. En effet, le groupe Marriott est également dans le viseur de l’ICO. La CNIL britannique envisage une amende de 110 millions d’euros pour le vol des donnés de millions de clients du groupe hôtelier. Des pirates auraient accédé aux informations de 339 millions de clients. Les informations sur les cartes de crédit, les numéros de passeports et les dates de naissances figurent parmi les données concernées par le piratage.

Le groupe Marriott a fusionné en 2016 avec Starwood, qui comprend notamment les enseignes Sheraton, W Hotels ou encore Le Meridien. Pendant plus de 4 ans, des pirates informatiques ont eu accès aux données concernant les réservations de cette filiale. L’enquête interne a montré qu’une intrusion s’était produite sur le réseau informatique de Starwood pour la première fois en 2014 et qu’un tiers non autorisé avait copié et crypté des renseignements.

Une sanction pour violation du RGPD

Pour motiver sa décision, l’ICO a estimé que le groupe hôtelier n’avait pas pris les dispositions nécessaires vis-à-vis de son système d’information au moment du rachat. « Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu’elles détiennent », a expliqué Elizabeth Denham.

« Nous regrettons profondément cet incident. En revanche, nous prenons très au sérieux la confidentialité et la sécurité des informations sur nos clients et nous continuons à travailler dur pour répondre aux normes d’excellence que nos clients attendent de Marriott. Nous ferons appel de la décision rendue par l’ICO », a pour sa part déclaré Arne Sorenson, PDG de Marriott International.