• Toutes nos formations
    • Fiscalité
    • Patrimoine
    • Immobilier
    • Comptabilité
    • Consolidation-Normes IFRS
    • Compliance, audit et risques
    • Gestion-Finance
    • Paie
    • Droit social-GRH
    • Droit des affaires
    • Banque-Assurance
  • Francis Lefebvre formation
    • L'entreprise
    • Nos valeurs
    • Nos équipes
    • Nos 6 engagements clients
    • Nos clients
  • Pédagogie
    • Notre expertise pédagogique
    • Nos intervenants
    • Innovations
    • Notre offre de formation
    • Nos homologations
    • Nos partenaires
  • Blog
    • Toutes nos actualités
    • Évènements
    • Livres blancs
    • Glossaire
    • Podcasts
  • Infos pratiques
    • Comment vous inscrire
    • FAQ
    • Nos centres de formations
    • Plan d'accès
    • Étapes-clés de votre formation
    • Mon espace formation
  • Contactez-nous
Droit des affaires

RGPD : British Airways et Marriott sanctionnés

L’autorité britannique de protection des données (Information Commissioner’s Office) a récemment lourdement sanctionné British Airways et Marriott en vertu du Règlement Général sur la Protection des Données (RGPD). En effet, la compagnie aérienne et le groupe hôtelier se sont respectivement vu infliger des amendes d’un montant de 20 et 18,4 millions de livres. Décryptage des sanctions.

 

Une violation massive de données à caractère personnel

En 2018, British Airways a fait l’objet d’une cyberattaque par laquelle les pirates ont pu avoir accès aux données personnelles de 429 612 clients et employés, incluant notamment noms, adresses, et numéros de cartes de paiement. Du 22 juin au 5 septembre 2018, les fraudeurs ont ainsi réalisé plusieurs manœuvres leur permettant d’accéder à des fichiers non cryptés contenant les données des cartes de paiement des clients. La compagnie aérienne a finalement été avertie de cette attaque par un tiers et a notifié l’ICO le 6 septembre 2018.

 

Le groupe Marriott a quant à lui notifié l’ICO le 22 novembre 2018 d’une violation de données personnelles causée par une cyberattaque perpétrée sur le système informatique de la société Starwood, acquise en 2016. Marriott estime que 339 millions de dossiers clients ont été impactés par l’attaque, initiée en avril 2014 : parmi les données personnelles concernées, les noms, adresses e-mail, numéros de téléphone, ou encore les numéros de passeports non cryptés des clients.

 

Un manquement aux obligations de sécurité contenues dans le RGPD

Pour motiver sa sanction contre British Airways[1], la CNIL britannique retient que la compagnie n’a pas réussi à empêcher l’attaque, ni même à la détecter, ce qui aurait pu être réalisé par des mesures de sécurité informatique basiques. L’autorité de contrôle ajoute même que ces mesures « n’auraient entraîné aucun coût excessif ou barrières techniques ». Au regard du nombre de personnes touchées et de l’importance du préjudice financier encouru, l’ICO estime enfin qu’il s’agit là pour British Airways d’un grave manquement aux principes de sécurité et d’« accountability »[2] définis dans le RGPD.

Dans sa décision contre Marriott[3], l’ICO relève la carence technique et organisationnelle du groupe dans la sécurisation des données personnelles de ses clients, et fonde ici aussi sa sanction sur le non-respect du principe de sécurité. Notons que cette sanction ne prend en compte que les faits survenus après le 25 mai 2018, date d’entrée en vigueur du RGPD.

 

Ces deux décisions illustrent également le mécanisme de coopération des autorités européennes de protection des données prévu par le Règlement : la CNIL s’est ainsi prononcée favorablement tant sur les manquements retenus que sur le montant des amendes, néanmoins réduites en raison de la pandémie de Covid-19.

 

[1] Décision de l’ICO du 16 octobre 2020

[2] Traduit en Français par « l’obligation de rendre compte »

[3] Décision de l’ICO du 30 octobre 2020