[Brèves] Cybersécurité : deux amendes record infligées par l’autorité britannique de protection des données, en coopération avec la CNIL

► L’ICO, autorité britannique de protection des données, a récemment infligé les amendes les plus importantes imposées en matière de sécurité au titre du «  RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) ;

Ces amendes, de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott, font suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles ; 

Elles rappellent le rôle du « RGPD » dans le domaine de la cybersécurité et illustrent une coopération fructueuse entre autorités de protection européennes, au service des citoyens.

Contexte. Dans le cas de British Airways, les données d’environ 430 000 personnes, dont les noms, prénoms, adresses et, pour plus de 200 000 d’entre elles, leurs données bancaires (numéros de CB et codes CVV) ont été rendues accessibles.

Concernant le groupe hôtelier Marriott, 339 millions de comptes clients ont été concernés dont 30 millions de comptes européens contenant les noms, prénoms, emails et numéros de passeport.

Dans les deux cas, il s’agit de sociétés traitant de très nombreuses données personnelles et qui disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Si les attaques concernées se sont révélées sophistiquées et menées sur une durée étendue, il n’en reste pas moins que de fortes exigences pèsent sur de tels organismes.

Une coopération exemplaire entre les autorités de protection des données européennes. En application du mécanisme de coopération prévu par le « RGPD », le « guichet unique », les projets de décisions ont été adressés aux autorités européennes de protection des données et ont été minutieusement examinés par la CNIL.

La formation restreinte de la CNIL s’est ainsi prononcée sur les suites à donner. Après des échanges fructueux avec l’ICO, son homologue britannique, la CNIL a approuvé les projets tant s’agissant des manquements retenus que des montants des amendes proposées. Elle a notamment estimé que ces montants substantiels et les plus élevés à ce jour en matière de sécurité étaient proportionnés au regard de la gravité des manquements constatés.

Dans son communiqué de presse, la CNIL déduit que le « guichet unique » permet d’aboutir à des décisions majeures à l’égard des traitements mis en œuvre à l’échelle européenne, en mettant en œuvre les mécanismes prévus dans le « RGPD ». Elle continuera à promouvoir et à prendre toute sa part dans la coopération européenne.

L’impérieuse nécessité de mettre en place des mesures de sécurité adaptées au service de la protection des données. La CNIL souligne que le « RGPD » a fait de la sécurité des données un principe général à respecter et créé de nouvelles obligations en la matière. Les manquements peuvent être sanctionnés jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires mondial. 

Ces décisions rappellent que la sécurité des données nécessite une vigilance permanente, tout particulièrement pour de tels opérateurs, avec de lourdes conséquences en cas d’infractions.

Une précédente décision de l’autorité de protection allemande sur le fondement de l’obligation de sécurité avait déjà conduit à une amende de près de 10 millions d’euros à l’encontre d’un opérateur télécom. Au-delà de l’amende, de telles sanctions conduisent généralement à d’importants investissements visant à prévenir la répétition des violations de données personnelles et à renforcer la sécurité des organismes.

Dans son communiqué de presse, la CNIL retient que ces différentes affaires positionnent clairement le « RGPD » et les autorités de protection des données comme des acteurs efficaces et à part entière de la cybersécurité, invitant les organismes à une bonne gestion de leur patrimoine informationnel.

© Reproduction interdite, sauf autorisation écrite préalable