Le régulateur Britannique vient de prononcer deux amendes en deux jours, de montants respectifs de 203 millions d'euros contre British Airways et 110 millions d’euros contre Mariott International.

Depuis l’entrée en vigueur du RGPD le 24 mai 2018, les amendes prononcées deviennent importantes, en raison de l’article 83 qui impose que les amendes prononcées soient “effectives, proportionnées et dissuasives”. Or, pour les très grandes entreprises, des amendes de quelques millions d’euros ne sont pas dissuasives, ce qui impose juridiquement aux autorités nationales de contrôle un plancher minimum de 50 à 100 millions d’euros. C’est notamment ce qui avait poussé la CNIL à sanctionner Google à 50 millions d’euros.

Concrètement, qu'est ce qui a bien pu justifier ces deux décisions de l'ICO?

British Airways révélait en septembre 2018 avoir été touchée par une cyberattaque, entre le 21 août et le 5 septembre 2018, visant les données bancaires de ses clients. Via un site frauduleux, profitant d’une faille informatique, les détails des utilisateurs du site internet de la compagnie ont été recueillis par les pirates. A la fin du mois d’octobre, la compagnie aérienne indiquait que d'autres clients s'étaient fait dérober leurs données financières entre le 21 avril et le 28 juillet.
Apres avoir mené ses propres investigations, l'ICO a retenu que cet incident de sécurité ayant conduit au détournement de son site web résultait des négligences du système de sécurité informatique de British Airways. C'est cette négligence qui a permis aux pirates informatiques de rediriger le web de l'entreprise vers un site frauduleux afin de capter des données personnelles, dont des données de paiement. 500.000 clients ont vu leurs données personnelles compromises dans cet incident.

Quant à l'affaire mettant en cause Mariott International, cette société a été victime d’un incident de sécurité suite à d’importantes négligences qui ont conduit les données personnelles de 339 millions de clients à être transmises à des personnes non autorisées.

Des pirates ont pu accéder à leurs données en ligne. Parmi ces dernières, des informations sur les cartes de crédit, les numéros de passeport et les dates de naissance ont été volées. Le problème aurait débuté en 2014, lorsque les systèmes de sécurité du groupe Starwood ont été compromis.

L’ICO a considéré que la chaîne d’hôtels n’a pas mis en oeuvre les mesures de sécurité imposées par le RGPD.

Ce qui frappe dans ces deux décisions, c’est que l’on entre maintenant dans une période ou les amendes pour défaut de conformité au RGPD seront plus importantes et plus régulières. Les entreprises sont donc averties. Elles doivent nécessairement tout mettre en ouvre pour se conformer à la réglementation européenne.