Sanctions : La CNIL et ses confrères internationaux accélèrent le pas
En ce milieu d’année 2019, les autorités administratives chargées de réguler les acteurs sur internet s’affirment de plus en plus et n’hésitent plus à sanctionner.
Cette fois-ci, ce n’est pas de la Commission Nationale de l’Informatique et des Libertés dont il s’agit mais de l’Information Commissioner’s Office (ICO) qui n’est autre que l’équivalent de notre chère CNIL, au Royaume-Uni.
En moins d’une semaine, l’organisme de régulation anglais n’a pas sanctionné un, mais deux acteurs, par des montants s’élevant à plus de 100 millions d’euros chacun.
La première sanction : La chaîne hôtelière Marriott International
110.000.000€, c’est la sanction prononcée envers la chaîne hôtelière américaine.
En 2016, Marriott a fait l’acquisition de Starwood, une autre chaîne de luxe américaine, c'est alors que les ennuis commencèrent.
Il s’avère que le système de réservation du groupe hôtelier acquis avait une faille de sécurité, et ce, depuis 2014. Cependant, ce n’est que deux années après l’acquisition de ce dernier que cette brèche est découverte, soit en 2018.
Résultats : les données personnelles contenues dans approximativement 340 millions de dossiers clients ont fuitées.
Dans la grande majorité des cas, il s’agit de noms, adresses postales, numéros de téléphones, adresses e-mails, numéros de passeports, dates de naissances, sexe… Mais il est d’autant plus alarmant que pour certains, nous parlons aussi de fuites d’informations bancaires.
Un nombre aussi important de clients touchés s’explique par le fait que, comme dit précédemment, la brèche est présente depuis 2014. Ce nombre résulte donc de quatre années de fuite de données.
C’est d’ailleurs principalement ce qui est reproché au groupe Marriott. Le fait que la brèche ait eu lieu avant leur rachat n’excuse rien – au contraire même, c’est un manquement à leur obligation de vigilance lors du rachat – et si nous ajoutons à cela que la découverte et résolution de cette faille n’a eu lieu que 4 années plus tard…
Nous avons donc l’explication de cette somme astronomique qui leur est demandée.
La seconde sanction : La compagnie aérienne British Airways
202.000.000€ (183.000.000£), c’est la somme vertigineuse – et jusqu’à lors la plus élevée infligée par la CNIL anglaise – demandée à la compagnie aérienne.
Cette sanction concerne un fait survenu au mois d’août 2018, qui n’est ni plus ni moins que le vol de 500.000 données bancaires et personnelles des clients de la compagnie anglaise.
Il a été estimé que 380.000 cartes de paiement ont été piratées.
Alex Cruz, CEO de British Airways se dit « surpris et déçu » d’une telle sanction à leur égard, et tente de se défendre en avançant le fait que jusqu’à lors, il n’a été recensé aucune preuve d’activité frauduleuse sur les comptes piratés, et qu’en plus de cela l’entreprise a selon lui su répondre rapidement à cet acte criminel.
Cependant, l’ICO ne compte pas pour autant revenir sur sa décision, il y a donc fort à parier que la compagnie devrait faire appel très prochainement pour contester cette décision.
Les sanctions importantes commencent à pleuvoir…
Un hôpital portugais sanctionné de 400.000€ d’amende en fin d’année passée, 250.000€ pour la ligue de football espagnole, 400.000€ pour une agence immobilière le mois dernier, et désormais ces deux sanctions astronomiques.
Les organismes de régulation ne sont plus en retrait, comme nous l’avions annoncé, les sanctions seront de plus en plus fréquentes et de plus en plus élevées. L’heure n’est plus à la clémence pour ces organismes, mais bel et bien à la répression comme nous le prouve ces nouvelles sanctions.
Tous les domaines sont concernés, tout le monde est donc susceptible d’être dans la ligne de mire de la CNIL ou dans celle de ses confrères internationaux.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.