British Airways[1] et Marriott[2] ont récemment écopé des deux amendes les plus importantes imposées au titre du RGPD[3]. L’Information Commissioner’s Office (ICO)[4] a infligé une amende de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott pour ne pas avoir suffisamment sécurisé les données de leurs clients.
En août 2020, des millions de personnes[5] se sont réunis pour mener une action collective aux Royaume-Uni contre Marriott à la suite de la fuite de données à caractère personnel ayant eu lieu entre juillet 2014 et septembre 2018. Des cybercriminels seraient parvenus à accéder à des informations personnelles de clients via le logiciel de réservations de Starwood Hotals & Resorts, filiale du groupe Marriott. Les hackers, dont l’identité reste encore inconnue, se sont ainsi procurés 5 millions de numéros de passeport et 8 millions de cartes de crédit en plus des noms, adresses, numéros de téléphone, adresses e-mail, dates de naissance ou encore genres des clients de l’hôtel.
Il s’agit de la deuxième fuite de données personnelles que le groupe hôtelier Marriott subi. En 2014, une faille de sécurité avait déjà permis à des hackers d’accéder aux informations personnelles de 339 millions de clients.
Marriott a expliqué avoir eu connaissance d’une faille de sécurité dans ses systèmes au mois de février ce qui aurait permis aux hackers de s’emparer des identifiants et mots de passes de deux de ses employés. Bien que depuis la faille a été corrigée, l’ICO déplore le défaut de « mesures techniques ou organisationnelles appropriées » au cours du traitement des données conduisant à une violation des exigences de protection des données à caractère personnel prévues par le RGPD.
Le règlement oblige le responsable de traitement à informer les autorités européennes de protection des données, ainsi que les personnes concernées par la fuite de données personnelles. Il prévoit également la possibilité pour un Etat de l’Union européenne de sanctionner une entreprise au nom de tous les pays de l’UE.
Toutefois, et bien que le piratage remonte à 2014, l’amende ne prend en compte que les faits ayant eu lieu après l’entrée en application du RGPD soit le 25 mai 2018. L’amende infligée par l’ICO à Marriott se situe dans la lignée de celle de la compagnie British Airways condamnée deux semaines plus tôt pour une cyberattaque remontant à 2018. Malgré une amende initialement fixée à 204 millions d’euros, l’impact économique du COVID-19 sur la santé économique de l’entreprise a obligé l’ICO à revoir le montant à la baisse.
Ces décisions soulignent l’importance pour les différents opérateurs de rester vigilant quant à la sécurité des données qu’ils collectent et rappellent les lourdes conséquences auxquelles ils s’exposent.
En plus d’une amende très lourde, les fuites de données à caractère personnel entrainent des investissements considérables pour les entreprises en vue de prévenir de nouvelles violations et de renforcer les mesures de sécurité déjà en place.
Enfin, les conséquences se font également ressentir outre-Atlantique puisque le procureur général de l’Etat de New York a ouvert une enquête. De même, la police fédérale américaine suit la situation et invite les « personnes contactées par la société » à « signaler » toute suspicion d’usurpation d’identité au centre de plaintes de l’agence fédérale réservé aux crimes commis sur internet.
Article réalisé en collaboration avec Noor ZAIM
[1] Compagnie aérienne nationale du Royaume-Uni
[2] Groupe hôtelier américain spécialisé dans l’hôtellerie de luxe
[3] Règlement Général sur la Protection des Données
[4] Autorité britannique de la protection des données
[5] 339 millions de personnes ont été concernées par ce piratage de données en 2014 et 5,2 millions en mars 2020
