RGPD : la Cnil britannique prononce ses premières sanctions
Marriott et British Airways écopent tous deux de plus de 100 millions d’euros d’amende pour défaut de protection de données personnelles.
Il n’y a pas que la Cnil qui ait vu son pouvoir de sanction renforcé sous l’ère RGPD.
Son homologue britannique, l’Information Commissioner’s Office (ICO), est dans le même cas. Cela se ressent dans le montant des amendes qu’elle vient d’imposer, coup sur coup, à British Airways et à Marriott.
La sanction infligée à la compagnie aérienne a été rendue publique lundi 8 juillet 2019. Elle s’élève à 183,39 millions de livres, soit environ 200 millions d’euros.
The ICO has issued a notice of its intention to fine
British Airways £183.39M for infringements of the General Data Protection
Regulation (GDPR).https://t.co/TdUYIDWqBf— ICO (@ICOnews) July 8, 2019
British Airways est épinglé pour un incident de sécurité notifié à l’ICO en septembre 2018.
En quelques semaines, un site frauduleux a permis de récupérer les données d’environ 500 000 clients. Parmi elles, des noms, des adresses, des identifiants de connexion et des informations de réservation.
British Airways déclare ne pas avoir constaté d’activités malveillantes liée aux comptes affectés. L’entreprise se dit prête à « prendre toutes les mesures appropriées » pour défendre ses positions ; notamment faire appel de la sanction.
Livré avec failles
Marriott aussi compte faire appel.
Le groupe hôtelier a écopé – officiellement ce 9 juillet 2019 – de 99,2 millions de livres d’amende.
Statement in response to Marriott International, Inc’s filing with the US Securities and Exchange Commission that ICO intends to fine it more than £99 million for infringements of the GDPR. https://t.co/JqQIvZpQgs
— ICO (@ICOnews) July 9, 2019
L’incident sanctionné a été découvert en septembre 2018 et officialisé fin novembre. Il consiste en des accès non autorisés au système de gestion des réservations de la chaîne hôtelière Starwood, dont Marriott avait fait l’acquisition en 2016.
Les premières traces remontent à 2014. Des données ont été copiées, chiffrées et le tiers qui y a accédé s’apprêtait semble-t-il à en supprimer.
L’incident aurait touché 339 millions de clients, dont environ 30 millions résidant dans l’Espace économique européen (et 7 millions au Royaume-Uni).
Parmi les données exposées figureraient quelque 9 millions de numéros de cartes (chiffrés) et 23 millions de numéros de passeport (dont 5 millions non chiffrés).
L’ICO a épinglé Marriott pour ne pas avoir procédé à suffisamment de vérifications pour s’assurer, pendant la période précédant l’acquisition de Starwood, de la sécurité de ses systèmes d’information.
Photo d’illustration ©