• 2466 lectures
  • Décembre 2020
  • 4.85
 

RGPD : British Airways et Marriott sanctionnés.

L’autorité britannique de protection des données (Information Commissioner’s Office) a récemment lourdement sanctionné British Airways et Marriott en vertu du Règlement Général sur la Protection des Données (RGPD). En effet, la compagnie aérienne et le groupe hôtelier se sont respectivement vu infliger des amendes d’un montant de 20 et 18,4 millions de livres. Décryptage des sanctions.


Une violation massive de données à caractère personnel

En 2018, British Airways a fait l’objet d’une cyberattaque par laquelle les pirates ont pu avoir accès aux données personnelles de 429 612 clients et employés, incluant notamment noms, adresses, et numéros de cartes de paiement. Du 22 juin au 5 septembre 2018, les fraudeurs ont ainsi réalisé plusieurs manœuvres leur permettant d’accéder à des fichiers non cryptés contenant les données des cartes de paiement des clients. La compagnie aérienne a finalement été avertie de cette attaque par un tiers et a notifié l’ICO le 6 septembre 2018.

Le groupe Marriott a quant à lui notifié l’ICO le 22 novembre 2018 d’une violation de données personnelles causée par une cyberattaque perpétrée sur le système informatique de la société Starwood, acquise en 2016. Marriott estime que 339 millions de dossiers clients ont été impactés par l’attaque, initiée en avril 2014 : parmi les données personnelles concernées, les noms, adresses e-mail, numéros de téléphone, ou encore les numéros de passeports non cryptés des clients.

Un manquement aux obligations de sécurité contenues dans le RGPD

Pour motiver sa sanction contre British Airways [1], la CNIL britannique retient que la compagnie n’a pas réussi à empêcher l’attaque, ni même à la détecter, ce qui aurait pu être réalisé par des mesures de sécurité informatique basiques. L’autorité de contrôle ajoute même que ces mesures « n’auraient entraîné aucun coût excessif ou barrières techniques ». Au regard du nombre de personnes touchées et de l’importance du préjudice financier encouru, l’ICO estime enfin qu’il s’agit là pour British Airways d’un grave manquement aux principes de sécurité et d’« accountability » [2] définis dans le RGPD.

Dans sa décision contre Marriott [3], l’ICO relève la carence technique et organisationnelle du groupe dans la sécurisation des données personnelles de ses clients, et fonde ici aussi sa sanction sur le non-respect du principe de sécurité. Notons que cette sanction ne prend en compte que les faits survenus après le 25 mai 2018, date d’entrée en vigueur du RGPD.

Ces deux décisions illustrent également le mécanisme de coopération des autorités européennes de protection des données prévu par le Règlement : la CNIL s’est ainsi prononcée favorablement tant sur les manquements retenus que sur le montant des amendes, néanmoins réduites en raison de la pandémie de Covid-19.

En savoir plus
Protection des données personnelles (RGPD, Loi Informatique et Libertés) : mise en oeuvre au quotidien
Atelier pratique : appliquer RGPD au quotidien
RGPD et les nouvelles obligations mises à la charge du sous-traitant (Classe virtuelle)
Les nouveaux pouvoirs de contrôle et de sanction de la CNIL après RGPD (Classe virtuelle)

Et pour aller plus loin, découvrez toutes nos formations sur le droit du digital, des données personnelles, de la propriété intellectuelle !

Notes :

[1Décision de l’ICO du 16 octobre 2020

[2Traduit en Français par « l’obligation de rendre compte »

[3Décision de l’ICO du 30 octobre 2020

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

104 votes

Sur le Village de la Justice aujourd'hui...



143 130 membres, 19981 articles, 126 070 messages sur les forums, 2 900 annonces d'emploi et stage... et 2 800 050 visites du site par mois. *

Edito >

2021: nos intuitions pour les mois à venir.

Focus sur >

[Dernières tendances de l'emploi dans le Droit] -30% sur le début 2021.




LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs