Back to Blog

Sanctions : La CNIL et ses confrères internationaux accélèrent le pas

Laurent THOMAS

En ce milieu d’année 2019, les autorités administratives chargées de réguler les acteurs sur internet s’affirment de plus en plus et n’hésitent plus à sanctionner.

Cette fois-ci, ce n’est pas de la Commission Nationale de l’Informatique et des Libertés dont il s’agit mais de l’Information Commissioner’s Office (ICO) qui n’est autre que l’équivalent de notre chère CNIL, au Royaume-Uni.

En moins d’une semaine, l’organisme de régulation anglais n’a pas sanctionné un, mais deux acteurs, par des montants s’élevant à plus de 100 millions d’euros chacun.

La première sanction : La chaîne hôtelière Marriott International

110.000.000€, c’est la sanction prononcée envers la chaîne hôtelière américaine.

En 2016, Marriott a fait l’acquisition de Starwood, une autre chaîne de luxe américaine, c'est alors que les ennuis commencèrent.

Il s’avère que le système de réservation du groupe hôtelier acquis avait une faille de sécurité, et ce, depuis 2014. Cependant, ce n’est que deux années après l’acquisition de ce dernier que cette brèche est découverte, soit en 2018.

Résultats : les données personnelles contenues dans approximativement 340 millions de dossiers clients ont fuitées.

Dans la grande majorité des cas, il s’agit de noms, adresses postales, numéros de téléphones, adresses e-mails, numéros de passeports, dates de naissances, sexe… Mais il est d’autant plus alarmant que pour certains, nous parlons aussi de fuites d’informations bancaires.

Un nombre aussi important de clients touchés s’explique par le fait que, comme dit précédemment, la brèche est présente depuis 2014. Ce nombre résulte donc de quatre années de fuite de données.

C’est d’ailleurs principalement ce qui est reproché au groupe Marriott. Le fait que la brèche ait eu lieu avant leur rachat n’excuse rien – au contraire même, c’est un manquement à leur obligation de vigilance lors du rachat – et si nous ajoutons à cela que la découverte et résolution de cette faille n’a eu lieu que 4 années plus tard…

Nous avons donc l’explication de cette somme astronomique qui leur est demandée.

La seconde sanction : La compagnie aérienne British Airways

202.000.000€ (183.000.000£), c’est la somme vertigineuse – et jusqu’à lors la plus élevée infligée par la CNIL anglaise – demandée à la compagnie aérienne.

Cette sanction concerne un fait survenu au mois d’août 2018, qui n’est ni plus ni moins que le vol de 500.000 données bancaires et personnelles des clients de la compagnie anglaise.

Il a été estimé que 380.000 cartes de paiement ont été piratées.

Alex Cruz, CEO de British Airways se dit « surpris et déçu » d’une telle sanction à leur égard, et tente de se défendre en avançant le fait que jusqu’à lors, il n’a été recensé aucune preuve d’activité frauduleuse sur les comptes piratés, et qu’en plus de cela l’entreprise a selon lui su répondre rapidement à cet acte criminel.

Cependant, l’ICO ne compte pas pour autant revenir sur sa décision, il y a donc fort à parier que la compagnie devrait faire appel très prochainement pour contester cette décision.

Les sanctions importantes commencent à pleuvoir…

Un hôpital portugais sanctionné de 400.000€ d’amende en fin d’année passée, 250.000€ pour la ligue de football espagnole, 400.000€ pour une agence immobilière le mois dernier, et désormais ces deux sanctions astronomiques.

Les organismes de régulation ne sont plus en retrait, comme nous l’avions annoncé, les sanctions seront de plus en plus fréquentes et de plus en plus élevées. L’heure n’est plus à la clémence pour ces organismes, mais bel et bien à la répression comme nous le prouve ces nouvelles sanctions.

Tous les domaines sont concernés, tout le monde est donc susceptible d’être dans la ligne de mire de la CNIL ou dans celle de ses confrères internationaux.

Share on social media: 

Ne partez pas si vite ... 

Le back-office d’Axeptio évolue et prend en compte la fin du Privacy Shield

La CJUE a récemment invalidé le Privacy Shield qui vous permettait de sécuriser le transfert de données personnelles vers les Etats-Unis. Les garanties mises en place en termes de protection des données ont en effet été jugées insuffisantes. Pas de panique, c’était attendu. Vous pouvez signer des clauses contractuelles types avec vos fournisseurs. C’est notre actualité juridique du jour.

Lire la suite

Sécurisez vos bases offline grâce aux questionnaires de consentement d’Axeptio

Vous constituez des bases de prospection commerciale en participant à des salons ou grâce aux conseillers commerciaux de vos boutiques physiques ? Sécurisez vos bases et recueillez le consentement de vos clients et prospects. Pour vous faciliter la vie, Axeptio vous met à disposition un modèle type que vous n’aurez plus qu’à compléter. C’est l’actualité juridique du jour.

Lire la suite

DPO - Comment trouver le bon profil pour gérer votre conformité RGPD ?

Devez-vous confier votre mise en conformité et la fonction de DPO à un profil plutôt juridique ou technique ? Le délégué à la protection des données est en effet un vrai couteau suisse. Il a des compétences polyvalentes, est excellent communiquant et bon diplomate. On vous donne quelques astuces pour choisir avec soin le profil de votre référent.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.