British Airways et Marriott font face à de lourdes amendes pour données personnelles non sécurisées

On n’est pas encore tout à fait au niveau de l’amende record – 50 millions d’euros – infligés à Google en France en 2019, mais on se rapproche: le gendarme britannique des données personnelles a récemment infligé de lourdes amendes à deux entreprises pour ne pas avoir suffisamment sécurisé les données de leurs clients.

Le géant américain de l’hôtellerie Marriott a payé les coûts d’une défense informatique insuffisante qui a causé la violation de données de 339 millions de personnes. Le gendarme britannique des données personnelles (Information Commissioner’s Office, ICO) lui condamné à une amende de 18,4 millions de livres sterling (soit 20,4 millions d’euros).

Noms, adresses, numéros de passeport

Ces données étaient à la fois précises et sensibles: elles comprenaient les noms, adresses, numéros de téléphone, adresses e-mail, numéros de passeport et de programme de fidélité, dates de naissance, sexe ainsi que les dates d’arrivée et de départ de l’hôtel de ses clients. On ne sait toujours pas à ce jour qui était derrière l’attaque.

Le piratage ayant pris fin en septembre 2018, c’est-à-dire avant le Brexit, l’ICO pourrait s’appliquer le règlement européen sur la protection des données (RGPD) exigeant, qui prévoit de lourdes amendes si les défenses informatiques d’une entreprise sont insuffisantes pour empêcher une violation de données. D’autre part, la fuite concernant environ 30 millions de ressortissants européens, l’ICO a sanctionné l’entreprise au nom de tous les pays de l’UE, dont la France, un mécanisme également prévu par le RGPD. La facture aurait pu être beaucoup plus élevée: l’ICO précise en effet que l’amende ne couvre que les quelques semaines entre l’entrée en application du RGPD, en mai 2018, et la découverte de la cyberattaque. Les premières fuites de données remontent, explique l’ICO, à 2014.

«Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Lorsque l’un d’eux ne parvient pas à le faire, l’impact n’est pas qu’une amende, ce qui compte le plus, ce sont les personnes dont l’entreprise avait le devoir de protéger les données », a déclaré Elizabeth Dunham, chef de l’ICO.

Amende de 22 millions d’euros contre British Airways

Il y a deux semaines, l’ICO condamné à une amende de 20 millions de livres (22 millions d’euros) dans une affaire similaire. En 2018, la compagnie aérienne British Airways avait rendu public une cyberattaque qui a conduit au vol potentiel de données (notamment les noms, adresses et numéros de cartes bancaires) de plus de 400 000 de ses clients et employés. L’ICO accuse la compagnie aérienne de ne pas avoir appliqué les mesures de sécurité informatique de base qui auraient détecté, voire neutralisé, l’attaque.

Le montant de l’amende est cependant bien inférieur aux prévisions. L’ICO prévoyait initialement une amende de 204 millions d’euros, ce qui aurait rendu cette décision la plus sévère sous l’égide du RGPD.

Enfin, le gendarme britannique des données dit avoir revu ce montant à la baisse en raison notamment « L’impact économique du Covid-19 sur la santé économique » de la compagnie. IAG, la société propriétaire de British Airways, a récemment annoncé une perte totale de 5,6 milliards d’euros depuis le début de l’année.

«Nous avons alerté nos clients dès que nous avons entendu parler de cette attaque criminelle contre nos systèmes en 2018 et sommes désolés d’avoir déçu leurs attentes. Nous sommes heureux que l’OIC reconnaisse que nous avons fait des progrès significatifs dans la sécurité de nos systèmes depuis cette attaque et que nous avons pleinement coopéré à l’enquête », a réagi un porte-parole de la compagnie aérienne cité par l’Agence France-Presse.