En cette première année d’application du RGPD, quelques amendes majeures sont déjà tombées – dont deux particulièrement lourdes en Grande-Bretagne cette semaine.
La menace d’amendes sévères a conduit les entreprises à prendre très au sérieux le RGPD il y a deux ans – mais sera-t-elle vraiment mise en application ? Aujourd’hui, ces deux sévères condamnations résonnent comme un roulement de tonnerre sur l’Europe.
Ce lundi, l’agence gouvernementale britannique en charge du respect de la vie privée a annoncé avoir infligé à British Airways une amende de 230 millions de dollars en réponse à une violation de données client en septembre 2018. Et mardi cette même agence appelée ICO (Information Commissioner's Office) a annoncé une amende de 123 millions de dollars infligée à la chaîne hôtelière Marriott pour une violation similaire en novembre 2018.
Ces annonces similaires se référaient à des infractions des deux entreprises au Règlement général sur la protection des données. L’Union européenne a approuvé la loi de protection de la vie privée au printemps 2016 et l’a mise en application deux années plus tard. Le monde des affaires a pris bonne note des pénalités prévues par le RGPD qui peuvent atteindre 25 millions de dollars ou 4 % du chiffre d’affaire annuel au niveau mondial de la firme incriminée.
Peu d’amendes majeures ont été infligées au cours de la première année d’application contraignante du RGPD. (En janvier, l’amende de 57 millions de dollars de la France contre Google – pour sa manipulation des informations utilisateurs dans ses opérations publicitaires – a été néanmoins significative.)
Cependant, depuis le mois de mai, les gouvernements ont infligé au moins autant d’amendes importantes. Et l’agence britannique, à la suite des amendes de cette semaine, semble vouloir rattraper son retard.
En Allemagne, un officier de police s’est vu infliger une amende de 1 500 dollars pour avoir relevé le numéro de portable d’un conducteur dans les détails de permis de conduire, puis de l’avoir appelé pour des raisons personnelles.
Les amendes de ce printemps incluaient, en France, une condamnation de plus de 400 millions de dollars à l’encontre d’une société immobilière ayant improprement utilisé des données de caméra de surveillance et, en Espagne, une amende de 280 000 dollars contre La Liga, une équipe de football ayant utilisé le microphone de son application mobile de manière inappropriée. Voici un cas moins grave en Allemagne, où un officier de police s’est vu infliger une amende de 1 500 dollars pour avoir relevé le numéro de portable d’un conducteur dans les détails de permis de conduire, puis de l’avoir appelé pour des raisons personnelles. (L’agence ICO confirme qu’elle tient aussi les individus pour responsables.)
Les amendes de cette semaine font suite à des violations de données (qui sont déjà extrêmement coûteuses pour les entreprises) et décrivent des atteintes spécifiques au RGPD et indiquent le montant des pénalités correspondantes. « L’enquête de l’ICO a révélé que de nombreuses informations étaient compromises en raison d’une mauvaise organisation de la sécurité, notamment concernant la connexion, les cartes de paiement et les détails des réservations de voyage ainsi que les coordonnées des passagers » a déclaré l’agence au sujet de British Airways. La compagnie aérienne coopère actuellement avec l’ICO et aura probablement une chance de résoudre les problèmes et de réduire l’amende.
Concernant la chaîne hôtelière Marriott, l’agence de surveillance britannique a constaté une sécurité mal conçue liée à l’acquisition d’une société. « L’enquête de l’ICO a révélé que Marriott n’a pas exercé suffisamment son devoir de diligence, » a déclaré l’agence, « et aurait dû faire plus pour sécuriser ses systèmes. »
Le Blog Avast a interrogé l’ICO sur les deux amendes de cette semaine : doivent-elles servir d’avertissement aux entreprises qui, après s’être préparées au RGPD, ont mis de côté la sécurité en tant que priorité et ont repris leurs activités comme avant ? La réponse suggère que l’agence britannique est réellement impliquée dans la responsabilisation des entreprises.
« L’objectif central de cette deuxième année d’application du RGPD est d’aller au-delà de la conformité de base – les organisations doivent prendre conscience de leurs responsabilités par le biais d’une compréhension effective et réelle des risques subis par les individus selon la façon dont elles traitent les données, » a précisé Elizabeth Denham, commissaire aux informations de l’ICO.
À l’inverse de l’avis de certaines grandes sociétés qui vont à l’encontre de l’ICO, Avast pense que le RGPD représente non pas une menace qu’il faut craindre mais plutôt le bon sens à intégrer dans le monde des affaires.