British Airways et Marriott lourdement sanctionnés pour défaut de sécurisation des données personnelles de leurs clients

Il n’y a pas longtemps, les autorités sanctionnaient lourdement deux géants de leur secteur.

D’un côté la compagnie britannique de l’aviation civile British Airways et la chaîne hôtelière mondiale Marriott. Ils ont été lourdement sanctionné au paiement d’amende pouvant aller respectivement de 18 à 20 millions de livres sterling. La cause : ils n’ont pas suffisamment protégé les données personnelles de leurs clients qui était sous leur responsabilité.

Il faut noter néanmoins que cela n’est pas au niveau de l’amende records qui est toujours détenus par Google et qui s’élève à hauteur de 50 millions d’euros, imposée par les autorités françaises en 2019. Disons que cela n’est pas loin. Les sanctions des deux entreprises réprimandées ont été imposées par le l’organisme britannique chargée de veiller à la protection des données personnelles. Une tendance qui est en vigueur en Europe depuis l’adoption du règlement général des données personnelles cela fait des années maintenant. L’objectif de cette sanction et de rappeler au grands groupes qui traitent souvent des millions de données, la responsabilité quant à la sécurisation de ses informations. Informations qui dans certains contextes sont assez sensibles.

Notons qu’il est reproché au géant américain de l’hôtellerie, la négligence d’avoir laissé échapper des données appartenant à près de 339 million de personnes à travers un piratage informatique. Face à cette situation qui relève de sa responsabilité directe, l’Information Commissioner’s Office (ICO) inflige une amende de près de 18,4 millions de livres ce qui équivaut à 20,4 millions d’euros. Plusieurs types d’informations ont fuités. On dénombre entre autres des adresses, des noms et prénoms, des numéros de passeport, des numéros de téléphone, des dates de naissance, des programmes de fidélité, des dates de venue et de départ des hôtels. Des informations assez sensibles pris dans un contexte au général. Le drame dans tous ceci, le coupable de cette cyberattaque n’a pas encore été découvert. Vu que l’affaire s’est déroulée en fin septembre 2018, c’est-à-dire avant le brexit, c’est le règlement général des données personnelles, la norme européenne s’applique donc dans cette affaire. C’est d’ailleurs elle que l’organisme britannique a appliqué. Au terme de cette norme européenne, une entreprise qui ne déploie pas suffisamment de moyens pour protéger les données qui sont sous sa protection, est soumis au paiement d’une amende qui sera fixé en fonction de son chiffre d’affaire annuel. Dans ce cas particulier, vu que 30 millions de ressortissants européen est impliqué dans cette histoire, l’organisme britannique a infligé l’amende au nom de tous les pays de l’Union européenne. Un mécanisme qui a été aussi prévu par le règlement européen.

Il faut noter cependant que l’amende aurait pu être bien plus élevée. Mais l’organisme britannique en charge de données personnelles a expliqué que la somme imposée l’a été en fonction de la date d’entrée en vigueur du règlement européen et par rapport à la cyberattaque.

« Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Quand l’une d’entre elles manque à ce devoir, l’impact n’est pas seulement une amende, ce qui importe le plus ce sont les gens dont l’entreprise avait le devoir de protéger les données », a déclaré Elizabeth Dunham. La dirigeante de l’Information Commissioner’s Office.

Concernant la compagnie aérienne britannique, l’amende s’est levé à hauteur de 20 millions de livres soit 22 millions d’euros. Les données qui ont fuitées sous la surveillance de british Airways appartenait à près de 400 000 clients et salariés. Par ailleurs, l’organisme britannique a avait signifié qu’initialement, l’amende qui était prévu était à hauteur de 204 millions d’euros par rapport au règlement général de la protection des données. Ce qui aurait été la sanction la plus sévère application de la norme européenne. Finalement, l’amende a été plus tard revue à baisse par l’organisme britannique.

Et cela en raison des conséquences directes de la pandémie à coronavirus sur l’état financier de l’entreprise. D’ailleurs, l’entreprise qui détient la partie majoritaire de british Airways, IAG, a affirmé avoir subi une perte de plus de 5,6 milliards d’euros à cause de la pandémie depuis le début de l’année 2020. « Nous avons alerté nos clients dès que nous avons eu vent de cette attaque criminelle sur nos systèmes en 2018 et sommes désolés d’avoir déçu leurs attentes. Nous sommes heureux que l’ICO reconnaisse que nous avons fait des progrès considérables dans la sécurité de nos systèmes depuis cette attaque et que nous avons pleinement collaboré à l’enquête », déclarait le porte-parole de la compagnie aérienne.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage