Back to Blog

Sanctions : La CNIL et ses confrères internationaux accélèrent le pas

Laurent THOMAS

En ce milieu d’année 2019, les autorités administratives chargées de réguler les acteurs sur internet s’affirment de plus en plus et n’hésitent plus à sanctionner.

Cette fois-ci, ce n’est pas de la Commission Nationale de l’Informatique et des Libertés dont il s’agit mais de l’Information Commissioner’s Office (ICO) qui n’est autre que l’équivalent de notre chère CNIL, au Royaume-Uni.

En moins d’une semaine, l’organisme de régulation anglais n’a pas sanctionné un, mais deux acteurs, par des montants s’élevant à plus de 100 millions d’euros chacun.

La première sanction : La chaîne hôtelière Marriott International

110.000.000€, c’est la sanction prononcée envers la chaîne hôtelière américaine.

En 2016, Marriott a fait l’acquisition de Starwood, une autre chaîne de luxe américaine, c'est alors que les ennuis commencèrent.

Il s’avère que le système de réservation du groupe hôtelier acquis avait une faille de sécurité, et ce, depuis 2014. Cependant, ce n’est que deux années après l’acquisition de ce dernier que cette brèche est découverte, soit en 2018.

Résultats : les données personnelles contenues dans approximativement 340 millions de dossiers clients ont fuitées.

Dans la grande majorité des cas, il s’agit de noms, adresses postales, numéros de téléphones, adresses e-mails, numéros de passeports, dates de naissances, sexe… Mais il est d’autant plus alarmant que pour certains, nous parlons aussi de fuites d’informations bancaires.

Un nombre aussi important de clients touchés s’explique par le fait que, comme dit précédemment, la brèche est présente depuis 2014. Ce nombre résulte donc de quatre années de fuite de données.

C’est d’ailleurs principalement ce qui est reproché au groupe Marriott. Le fait que la brèche ait eu lieu avant leur rachat n’excuse rien – au contraire même, c’est un manquement à leur obligation de vigilance lors du rachat – et si nous ajoutons à cela que la découverte et résolution de cette faille n’a eu lieu que 4 années plus tard…

Nous avons donc l’explication de cette somme astronomique qui leur est demandée.

La seconde sanction : La compagnie aérienne British Airways

202.000.000€ (183.000.000£), c’est la somme vertigineuse – et jusqu’à lors la plus élevée infligée par la CNIL anglaise – demandée à la compagnie aérienne.

Cette sanction concerne un fait survenu au mois d’août 2018, qui n’est ni plus ni moins que le vol de 500.000 données bancaires et personnelles des clients de la compagnie anglaise.

Il a été estimé que 380.000 cartes de paiement ont été piratées.

Alex Cruz, CEO de British Airways se dit « surpris et déçu » d’une telle sanction à leur égard, et tente de se défendre en avançant le fait que jusqu’à lors, il n’a été recensé aucune preuve d’activité frauduleuse sur les comptes piratés, et qu’en plus de cela l’entreprise a selon lui su répondre rapidement à cet acte criminel.

Cependant, l’ICO ne compte pas pour autant revenir sur sa décision, il y a donc fort à parier que la compagnie devrait faire appel très prochainement pour contester cette décision.

Les sanctions importantes commencent à pleuvoir…

Un hôpital portugais sanctionné de 400.000€ d’amende en fin d’année passée, 250.000€ pour la ligue de football espagnole, 400.000€ pour une agence immobilière le mois dernier, et désormais ces deux sanctions astronomiques.

Les organismes de régulation ne sont plus en retrait, comme nous l’avions annoncé, les sanctions seront de plus en plus fréquentes et de plus en plus élevées. L’heure n’est plus à la clémence pour ces organismes, mais bel et bien à la répression comme nous le prouve ces nouvelles sanctions.

Tous les domaines sont concernés, tout le monde est donc susceptible d’être dans la ligne de mire de la CNIL ou dans celle de ses confrères internationaux.

Share on social media: 

Ne partez pas si vite ... 

Freebe choisit Axeptio pour la gestion de ses cookies !

Si vous êtes freelance, on vous conseille de vous intéresser rapidement à l'outil en ligne Freebe 🤖 : un outil de gestion, français et super praitque, spécialement conçu pour les indépendants !

Lire la suite

Configurer le tracking Google Analytics avec Google Tag Manager pour être RGPD compatible !

Si vosu utilisez Google Tag Manager, quelques minutes suffisent pour configurer correctement le tag Google Analytics afin d'être dans les clous du RGPD et des nouvelles règles relatives aux cookies.

Lire la suite

Les experts de la com' craquent pour Axeptio

Blog du webdesign, Webdesigner Trends, Le Pti Digital, ou encore Design Spartan : les influenceurs de la communication et du marketing nous font confiance !

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.