British Airways et Marriott Starwood font face à des amendes massives au Royaume-Uni pour des cyberincidents qui ont compromis les données personnelles de leurs clients.
Hier, l'Information Commissioner's Office (ICO) du Royaume-Uni a annoncé son intention d'imposer une amende de 183,4 millions de livres sterling (environ 230 millions de dollars américains) au transporteur aérien, pour une infraction qui a compromis les données personnelles d'un demi-million de ses clients.
Et aujourd'hui, l'organisme de surveillance des données a révélé avoir une intention semblable envers la chaîne hôtelière - une amende d'une valeur de 99,2 millions de livres sterling (environ 123 millions de dollars US) en réponse à une infraction qui a révélé 383 millions de dossiers de clients.
Ces deux sanctions s'appliquent en cas de violation présumée du Règlement général de l'Union européenne relatif à la protection des données (RGPD). L’amende infligée à British Airways est la première que l'ICO a l'intention d'imposer dans le cadre du nouveau régime juridique et de loin la plus élevée que l’organisme de protection des données ait jamais imposée jusqu’à présent.
No. 1
Comme nous l'avons rapporté en septembre 2018, des centaines de milliers de clients du transporteur aérien se sont fait voler leur numéro de carte de crédit l'été dernier. Au fur et à mesure que l'étendue des dommages devenait évidente, l'éventail des données compromises s'est élargi pour inclure de plus en plus de données, y compris les données de connexion, de carte de paiement et de réservation de voyage, ainsi que les informations relatives aux noms et adresses. Le décompte des victimes a également été revu à la hausse, passant à 500 000 personnes.
« Cet incident a entraîné le détournement d'une partie du trafic des utilisateurs vers le site Web de British Airways vers un site frauduleux. Grâce à ce faux site, les détails des clients ont été recueillis par les agresseurs », selon la déclaration de l’ICO à l'issue d'une enquête approfondie, dont le rapport attribue cette violation aux « mauvais dispositifs de sécurité » de l'entreprise.
Elizabeth Denham, commissaire à l'information, explique : « Les données personnelles des gens sont justement des données personnelles. Lorsqu'une organisation ne parvient pas à la protéger contre la perte, les dommages ou le vol, c'est plus qu'un inconvénient. C'est pourquoi la loi est claire - quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas devront se soumettre à un examen minutieux de mon bureau pour vérifier qu'ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée. »
British Airways a déjà annoncé son intention de « prendre toutes les mesures appropriées pour défendre vigoureusement la position de la compagnie aérienne, y compris en faisant appel si nécessaire. »
No. 2
Un autre jour, une autre pénalité, cette fois pour un incident qui a frappé l'une des plus grandes chaînes hôtelières du monde et exposé les données personnelles de centaines de millions de ses clients à travers le monde. L'ICO, qui estime le nombre de signalements exposés à 339 millions, précise que quelque 30 millions d'entre eux concernaient des résidents de 31 pays de l'Espace économique européen (EEE).
Dans cette brèche, divulguée en novembre 2018, une partie non autorisée avait accédé à la base de données des réservations depuis aussi loin que 2014. Les données compromises comprenaient une combinaison de nom, adresse postale, numéro de téléphone, adresse électronique, numéro de passeport, renseignements sur le compte Starwood Preferred Guest (SPG), date de naissance, sexe, renseignements sur l'arrivée et le départ, date de réservation et préférences de communication. Pour un sous-ensemble de victimes, les numéros de passeport, les numéros de carte de paiement et les dates d'expiration des cartes de paiement ont également été volés.
Marriot Starwood a déjà annoncé son intention d'en appeler de la décision de l'ICO.
Du nouveau sous le soleil
L'une ou l'autre de ces amendes fait honte à toute sanction infligée par l'OIC. En juillet dernier, par exemple, l'ICO a infligé à Facebook une amende de 500 000 livres sterling (correspondant à l’époque à 663 000 dollars US) pour le scandale de Cambridge Analytica qui a vu les données personnelles de millions d'utilisateurs récoltées à leur insu. Pourtant, c'était le maximum permis avant l'entrée en vigueur du RGPD.
Par ailleurs, les amendes imposées dans le cadre du GDPR peuvent atteindre 20 millions d'euros (22,4 millions de dollars US) ou 4 % du chiffre d'affaires annuel mondial total d'une entreprise au cours de l'exercice financier précédent, le montant le plus élevé étant retenu. Selon le Guardian, la pénalité proposée pour British Airways équivaut à environ 1,5 % du chiffre d'affaires mondial de la compagnie l'année dernière. Pour Marriott, l'amende représenterait environ 3 % du chiffre d'affaires global de l'entreprise en 2018, souligne TechCrunch.