Data breach : 204 millions € d’amende
Publié le 08/07/2019 par Etienne Wery
L’ICO (autorité anglaise de protection des données personnelles) a décidé de frapper très fort : pour son premier grand cas de « data breach » depuis l’entrée en vigueur du GDPR, elle entend imposer une amende de 204 millions d’euros à British Airways. Le montant est sans nul doute dissuasif, mais il pourrait aussi inciter les entreprises à déclarer le moins d’incidents possibles. Le dosage est très important.
En septembre 2018, British Airways notifie à l’ICO (l’autorité anglaise de protection des données personnelles) un incident de sécurité.
Nul n’ignore désormais que conformément à l’article 33 GDPR : « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».
Le data breach est « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière » (art. 4).
Alors qu’à l’origine, le projet de règlement européen limitait l’obligation de notification aux seules violations susceptibles d’exposer les personnes physiques à un risque élevé au regard de leurs droits et libertés, la version finale du GDPR a inversé cette logique : toute violation de donnée doit faire l’objet d’une notification sauf si la violation ne paraît pas faire courir de risque aux droits et libertés individuelles des personnes concernées.
Dans le cas de British Airways, la violation a permis de détourner le trafic destiné au site officiel vers un faux site. Environ 500.000 clients ont été pris dans la fraude, qui a permis aux attaquants de s’emparer de données telles que des informations relatives à la connexion, aux cartes de paiement et aux réservations de voyage, ainsi que les noms et adresses.
Un cas classique de phishing (hammeconnage) : La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance [en l’occurence British Airways] afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc. En effet, le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi saisir ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur ce site. (Wikipedia)
British Airways a coopéré à l’enquête et a amélioré ses outils techniques de protection.
Au terme de l’enquête, menée en collaboration avec d’autres autorités dans le cadre du nouvel article 60, l’ICO vient donc de communiquer un projet de décision infligeant une amende extrêmement élevée : 204 millions d’euros.
La responsable de l’ICO, Mme Elizabeth Denham, a fait le commentaire suivant : « People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights.”
L’ICO examinera attentivement les arguments que British Airways ne manquera pas de présenter, ainsi que les observations des autres autorités de protection des données concernées, avant de prendre sa décision finale.