Par deux décisions des 16 et 30 octobre 2020, de près d’une centaine de pages chacune, l’autorité de contrôle de la protection des données personnelles anglaise, l’Information Commissioner’s Office (ICO), a sanctionné les sociétés British Airways et Marriott respectivement à 20 millions et 18,4 millions de livres sterling au titre du RGPD pour manquement à leurs obligations de sécurité des données personnelles.

Par Me Pierre-Randolph Dufau, Avocat à la cour, fondateur de SELAS PRO avocats

Le montant élevé de ces amendes s’explique par le fait que ces deux sociétés traitaient massivement des données personnelles sans avoir mis en place des mesures de sécurité suffisantes, si bien que les conséquences ont été particulièrement lourdes lorsqu’elles ont fait l’objet d’une intrusion dans leurs systèmes d’information.

En premier lieu, l’ICO a en effet déploré l’échec de ces deux sociétés pour prévenir et détecter ces incidents de sécurité alors que de telles mesures étaient à leur portée, compte-tenu des moyens financiers et personnels dont elles disposent, ne nécessitant donc pas des investissements financiers ou techniques bloquants. Il aurait pourtant fallu plus de quatre ans à Marriott pour prendre conscience qu’elle était victime d’une intrusion frauduleuse…
Au travers de ces décisions, l’ICO en profite pour faire un rappel des mesures fondamentales à mettre en place pour assurer la sécurité des données personnelles, et en particulier l’importance de limiter les accès aux données du personnel, au sein de l’entreprise, aux seules personnes qui en ont l’utilité pour les besoins de leur mission ; de mettre en place des simulations de cyber-attaques pour tester les systèmes d’information de l’entreprise ; et de protéger les comptes clients et employés par une authentification à facteurs multiples.

En second lieu, l’ICO a souligné l’ampleur des conséquences de ces incidents de sécurité et relève dans ses décisions que les données de près de 430 000 personnes ont été touchées dans l’attaque de British Airways et de 339 millions de personnes dans celle de Marriott.
En outre, la nature des données personnelles qui auraient été volées étaient susceptibles de créer un risque élevé pour les personnes concernées.
En effet, en plus de leurs nom, prénom et adresse e-mail, les numéros de carte bancaire et codes de sécurité (CVV) de près de 250 000 clients de la compagnie aérienne ont été volés, ainsi que les numéros de passeport, non encryptés, de plus de 30 millions de clients du groupe hôtelier.

Les violations touchant des personnes de plusieurs États membres de l’Union européenne, l’ICO a transmis ses projets de décisions à ses homologues en application du mécanisme de coopération prévu par le RGPD sous le nom de « guichet unique ». La Cnil n’a d’ailleurs pas manqué, dans son communiqué du 2 novembre 2020, de se féliciter de cette « coopération fructueuse » et d’avoir « minutieusement examiné » les projets de décisions.

Initialement, l’ICO avait annoncé en juillet 2019 son intention de sanctionner les sociétés British Airways et Marriott à des amendes, respectivement de 184 millions et 99 millions de livres. Compte-tenu des conséquences économiques supportées par ces sociétés en raison de la Covid-19, l’ICO a finalement considérablement réduit le montant de ces amendes. Toutefois, comme la Cnil l’a rappelé, « ces montants substantiels » sont « les plus élevés à ce jour en matière de sécurité […] ». Le record de la sanction prononcée au titre du RGPD demeure à ce jour l’amende de 50 M€ infligée à Google par la Cnil le 21 janvier 2019 pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.