Back to Blog

Sanctions : La CNIL et ses confrères internationaux accélèrent le pas

Laurent THOMAS

En ce milieu d’année 2019, les autorités administratives chargées de réguler les acteurs sur internet s’affirment de plus en plus et n’hésitent plus à sanctionner.

Cette fois-ci, ce n’est pas de la Commission Nationale de l’Informatique et des Libertés dont il s’agit mais de l’Information Commissioner’s Office (ICO) qui n’est autre que l’équivalent de notre chère CNIL, au Royaume-Uni.

En moins d’une semaine, l’organisme de régulation anglais n’a pas sanctionné un, mais deux acteurs, par des montants s’élevant à plus de 100 millions d’euros chacun.

La première sanction : La chaîne hôtelière Marriott International

110.000.000€, c’est la sanction prononcée envers la chaîne hôtelière américaine.

En 2016, Marriott a fait l’acquisition de Starwood, une autre chaîne de luxe américaine, c'est alors que les ennuis commencèrent.

Il s’avère que le système de réservation du groupe hôtelier acquis avait une faille de sécurité, et ce, depuis 2014. Cependant, ce n’est que deux années après l’acquisition de ce dernier que cette brèche est découverte, soit en 2018.

Résultats : les données personnelles contenues dans approximativement 340 millions de dossiers clients ont fuitées.

Dans la grande majorité des cas, il s’agit de noms, adresses postales, numéros de téléphones, adresses e-mails, numéros de passeports, dates de naissances, sexe… Mais il est d’autant plus alarmant que pour certains, nous parlons aussi de fuites d’informations bancaires.

Un nombre aussi important de clients touchés s’explique par le fait que, comme dit précédemment, la brèche est présente depuis 2014. Ce nombre résulte donc de quatre années de fuite de données.

C’est d’ailleurs principalement ce qui est reproché au groupe Marriott. Le fait que la brèche ait eu lieu avant leur rachat n’excuse rien – au contraire même, c’est un manquement à leur obligation de vigilance lors du rachat – et si nous ajoutons à cela que la découverte et résolution de cette faille n’a eu lieu que 4 années plus tard…

Nous avons donc l’explication de cette somme astronomique qui leur est demandée.

La seconde sanction : La compagnie aérienne British Airways

202.000.000€ (183.000.000£), c’est la somme vertigineuse – et jusqu’à lors la plus élevée infligée par la CNIL anglaise – demandée à la compagnie aérienne.

Cette sanction concerne un fait survenu au mois d’août 2018, qui n’est ni plus ni moins que le vol de 500.000 données bancaires et personnelles des clients de la compagnie anglaise.

Il a été estimé que 380.000 cartes de paiement ont été piratées.

Alex Cruz, CEO de British Airways se dit « surpris et déçu » d’une telle sanction à leur égard, et tente de se défendre en avançant le fait que jusqu’à lors, il n’a été recensé aucune preuve d’activité frauduleuse sur les comptes piratés, et qu’en plus de cela l’entreprise a selon lui su répondre rapidement à cet acte criminel.

Cependant, l’ICO ne compte pas pour autant revenir sur sa décision, il y a donc fort à parier que la compagnie devrait faire appel très prochainement pour contester cette décision.

Les sanctions importantes commencent à pleuvoir…

Un hôpital portugais sanctionné de 400.000€ d’amende en fin d’année passée, 250.000€ pour la ligue de football espagnole, 400.000€ pour une agence immobilière le mois dernier, et désormais ces deux sanctions astronomiques.

Les organismes de régulation ne sont plus en retrait, comme nous l’avions annoncé, les sanctions seront de plus en plus fréquentes et de plus en plus élevées. L’heure n’est plus à la clémence pour ces organismes, mais bel et bien à la répression comme nous le prouve ces nouvelles sanctions.

Tous les domaines sont concernés, tout le monde est donc susceptible d’être dans la ligne de mire de la CNIL ou dans celle de ses confrères internationaux.

Share on social media: 

Ne partez pas si vite ... 

Vers la fin des cookies ?

Est-ce la fin des cookies ? De nombreux articles de presse ont pu vous laisser penser que les navigateurs les bloqueront désormais tous. Du coup, plus besoin de bandeau ou d’interface de consentement. Et pourtant non, car vous utiliserez d’autres technologies de traçage ou des cookies first parties qui restent soumis aux exigences de la CNIL. On vous explique pourquoi.

Lire la suite

Click to speak : une aide efficace pour votre stratégie d'inbound marketing

Pour une meilleure compréhension de ce post, nous allons d'abord expliquer le concept de Inbound Marketing. Il s'agit des techniques de marketing et de publicité utilisées pour que, sans attaquer directement ou agressivement le consommateur, elles l'accompagnent du début à la fin de son processus d'achat. Ainsi, elles donnent lieu à des performances économiques résultant d'un investissement.

Lire la suite

Comment créer un cookie wall conforme ?

Le cookie wall permet-il de demander un consentement valide pour le dépôt de cookies publicitaires ? Non, selon les régulateurs européens et la CNIL. Mais le Conseil d’État a remis en cause cette interdiction générale. Les cookies walls sont en effet une méthode engageante pour peu qu’on ne cherche pas à forcer l’autorisation des utilisateurs. On vous explique comment créer un cookie wall conforme.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.