Sécurité des données personnelles : Deux amendes record prononcées par la Cnil et l'ICO

La Cnil a annoncé le 2 novembre avoir participé avec son homologue britannique, l'Information Commsionner's Office - ICO - , à deux décisions de sanctions à l'encontre d'entreprises en matière de sécurité des données personnelles gérées par celles-ci.

L’ICO, autorité britannique de protection des données, a récemment infligé les amendes les plus importantes imposées en matière de sécurité au titre du règlement général sur la protection des données (RGPD).

Ces amendes, de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott, font suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles.

Dans le cas de British Airways, les données d’environ 430 000 personnes, dont les noms, prénoms, adresses et, pour plus de 200 000 d’entre elles, leurs données bancaires (numéros de CB et codes CVV) ont été rendues accessibles.

Concernant le groupe hôtelier Marriott, 339 millions de comptes clients ont été concernés dont 30 millions de comptes européens contenant les noms, prénoms, emails et numéros de passeport.

En application du mécanisme de coopération prévu par le RGPD, le « guichet unique », les projets de décisions ont été adressés aux autorités européennes de protection des données et ont été minutieusement examinés par la CNIL.

La formation restreinte de la CNIL s’est ainsi prononcée sur les suites à donner. Après des échanges fructueux avec l’ICO, son homologue britannique, la CNIL a approuvé les projets tant s’agissant des manquements retenus que des montants des amendes proposées. Elle a notamment estimé que ces montants substantiels et les plus élevés à ce jour en matière de sécurité étaient proportionnés au regard de la gravité des manquements constatés.

Le « guichet unique » permet ainsi d’aboutir à des décisions majeures à l’égard des traitements mis en œuvre à l’échelle européenne, en mettant en œuvre les mécanismes prévus dans le RGPD. La CNIL continuera à promouvoir et à prendre toute sa part dans la coopération européenne.

Source : Cnil

Comme on le voit, le Royaume-Uni continue d'appliquer le RGPD en dépit du Brexit. Il est d'ailleurs à prévoir que tout l'arsenal juridique hérité de l'Union européenne ne sera pas intégralement mis à bas sous prétexte de sortie de l'Union.

Aller plus loin

Lire le communiqué complet sur le site de la Cnil
Lire la décision de l'Ico (en anglais) en date du 30 octobre dernier "ICO fines Marriott International Inc £18.4million for failing to keep customers’ personal data secure".

Didier FROCHOT