L’ICO (Information Commissioner’s Office), le régulateur britannique de protection des données personnelles, a annoncé dans la même semaine son intention de sanctionner la compagnie aérienne British Airways ainsi que le groupe hôtelier Marriott pour manquement au Règlement Général de l’UE sur la Protection des Données (RGPD).
Les deux entreprises ayant fait l’objet de cyberattaques en 2018, l’ICO considère que leurs pratiques de sécurité violent le RGPD et sont la cause de telles failles de sécurité.
S’agissant de British Airways, l’ICO a estimé qu’environ 500 000 clients avaient vu leurs données « compromises » lors d’un incident qui a démarré en juin 2018 et qui est attribué à « de mauvais systèmes de sécurité dans l’entreprise ». Lors de cette cyberattaque, des numéros de cartes bancaires ainsi que leur date d’expiration avaient notamment fuités. L’ICO a annoncé le 8 juillet 2019 son intention d’infliger une amende équivalente à environ 204 millions d’euros (quatre fois le montant record de la CNIL contre Google !) à IAG, maison mère de la compagnie aérienne. Ainsi, si aucun acte frauduleux suite à la cyberattaque n’a été révélé, la compagnie est ici sanctionnée pour sa négligence lors de la conservation des données personnelles de ses consommateurs. Par communiqué de presse, le patron de la compagnie a dit être « surpris » et « déçu » par cette décision car outre l’absence d’acte frauduleux, la réaction de sa société avait été rapide.
S’agissant de Marriott, le groupe hôtelier a révélé que des pirates informatiques avaient accédé à la base de données de réservations dans le système des hôtels Starwood rachetés par le groupe en 2016. La cyberattaque a entraîné une très grande fuite de données, notamment :
- 383 millions d’enregistrements client
- 18,5 millions de numéros de passeport chiffrés
- 5,25 millions de numéros de passeport non chiffrés
- 9,1 millions de numéros de cartes de paiement chiffrées
- 385 000 numéros de carte encore valables au moment de l’incident
Une partie des victimes étant des personnes membres de l’Union, le RGPD est donc bien d’application et l’ICO requiert à cet égard une amende de 99 millions de livres sterling soit environ 111 millions d’euros.
Selon la procédure de l’ICO, les deux groupes ont encore la possibilité de présenter leurs observations au régulateur britannique qui devra alors se prononcer sur le montant des sanctions définitives. Les intentions d’amendes de l’ICO, environ 1,5% du chiffre d’affaires annuel des deux entreprises, sont cependant révélatrices de l’intransigeance des autorités de contrôle depuis l’entrée en vigueur du RGPD et de la fin d’une certaine forme de tolérance à l’égard des professionnels traitant des données personnelles.
