Ce ne sont que quatre lettres, mais ne pas s’y conformer peut coûter très cher. Le Règlement général sur la protection des données (RGPD) a été largement évoqué par les médias, mais de nombreuses entreprises ne traitent toujours pas correctement les données personnelles.
En mai 2018, le Règlement général sur la protection des données (RGPD) a modifié la manière dont les entreprises de l’UE obtiennent, stockent et traitent des informations relatives aux clients. Entre autres aspects, la loi définit ce que sont les données personnelles et la manière dont les utilisateurs doivent être informés du traitement de leurs informations personnelles. Grâce à l’énorme attention médiatique liée au RGPD, le public a désormais une meilleure compréhension de ses droits en matière de données personnelles.
« Le RGPD a sensibilisé les citoyens ordinaires, » explique Jaroslav Oster, expert en sécurité informatique, « de sorte qu’ils sont désormais de plus en plus en mesure de déposer une plainte si leurs droits ne sont pas respectés. Et toutes les autorités de l’Union européenne sont très actives dans le contrôle de la conformité au RGPD. »
Cependant, certaines entreprises perçoivent ce dernier comme un fardeau administratif obligatoire, au lieu de l’envisager comme une opportunité de déployer des solutions sophistiquées de protection des données et de cybersécurité. Se conformer au RGPD ne les met pas nécessairement à l’abri des fuites de données. Et lorsque celles-ci sont volées, dans la plupart des cas, les entreprises sont tenues d’assumer leur responsabilité et de signaler l’incident aux autorités. Ces dernières peuvent alors porter plainte si les mesures de sécurité employées étaient insuffisantes.
"+467 millions d'euros d'amendes RGPD ont été infligées"
Une enquête DLA Piper sur les fuites de données dans le cadre du RGPD a révélé que depuis l’entrée en vigueur du RGPD, plus de 161 000 infractions relatives aux données personnelles ont été signalées dans les 28 États membres de l’UE, plus la Norvège, l’Islande et le Liechtenstein. Selon l’outil de statistiques et de suivi des amendes relatives au RGPD, à la fin du mois de mars 2020, le montant total des amendes émises s'élevait à 467 millions d'euros. Découvrons les infractions les plus importantes.
1. British Airways, une note qui s'envole
Entre juin et septembre 2018, British Airways (BA) a subi une fuite de données qui a vu s’envoler les données personnelles et financières d’environ 500 000 clients. Comment ? En consultant le site web de la compagnie aérienne, les utilisateurs ont été détournés vers un site web frauduleux par lequel les pirates ont recueilli leurs données.
Du point de vue de la compagnie aérienne, il s’agit d’un incident non intentionnel causé par un tiers. Néanmoins, en ne protégeant pas les données des clients de manière responsable, BA a enfreint le RGPD. En juillet 2019, l’Information Commissioner’s Office du Royaume-Uni (ICO) a infligé à l’entreprise une amende de plus de 204 millions d’euros, soit la plus importante émise à ce jour.
"Lorsque l'on vous confie des données personnelles, vous devez en prendre soin."
« Les données personnelles des gens doivent le rester. Lorsqu’une entreprise ne parvient pas à se protéger contre les pertes, les dommages ou le vol, cela représente plus qu’un simple désagrément. C’est pourquoi la loi est claire : lorsque l’on vous confie des données personnelles, vous devez en prendre soin. Les entreprises qui ne s’y soumettront pas feront l’objet d’un examen minutieux de la part de mon bureau, pour vérifier qu’elles ont pris les mesures appropriées afin de protéger les droits fondamentaux à la confidentialité, » a déclaré Elizabeth Denham, la Commissaire à l’information.
2. Un séjour coûteux pour les hôtels Marriott
Quelques jours plus tard, également en juillet 2019, une autre entreprise britannique s’est vue infliger une amende relative au RGPD, également en raison d’une cyberattaque. En 2018, Marriott a signalé à l’ICO que « différentes données personnelles d’environ 339 millions de dossiers clients dans le monde ont été exposées lors de l’incident. Parmi eux, environ 30 millions concernaient des résidents de 31 pays de l’Espace économique européen (EEE). » L’ICO a déclaré que Marriott n’a pas fait preuve de la diligence requise et n’a pas sécurisé ses systèmes. L’ICO a infligé à l’entreprise une amende de plus de 110 millions d’euros.
3. Google n'est pas loin derrière
En janvier 2019, la CNIL, l’autorité française de régulation des données, a condamné Google à une amende de 50 millions d’euros en raison d’un « manque de transparence, d’une information inadéquate et d’une absence de consentement valide concernant la personnalisation des publicités, » a déclaré la CNIL. Selon les autorités, Google n’a pas informé les utilisateurs de la manière dont leurs données seraient utilisées et pour quelles applications. « Le montant décidé, ainsi que l’annonce de l’amende, sont justifiés par la gravité des manquements constatés au regard des principes essentiels du RGPD : transparence, information et consentement, » a déclaré la CNIL.
En 2017, les autorités suédoises ont contraint Google à supprimer un certain nombre de résultats de son moteur de recherche. Malgré cela, en 2018, plusieurs résultats qui auraient dû être supprimés sont encore apparus dans les résultats de recherche. Plusieurs autres problèmes de conformité sont apparus. C’est pourquoi, en 2020, l’autorité suédoise de protection des données Datainspektionen a infligé à Google une amende de 7 millions d’euros.
4. Les organismes publics ne font pas exception
Les institutions publiques doivent également se conformer au RGPD. Selon l’outil de statistiques et de suivi des amendes relatives au RGPD, en mai 2019, la Direction des institutions sociales et de protection de l’enfance du district de Ferencváros à Budapest a dû payer 286 euros à l’Autorité nationale hongroise pour la protection des données et la liberté d’information (NAIH). Dans ce cas, les facteurs humains étaient en cause. Un employé de la Direction a accidentellement envoyé neuf lettres à un mauvais destinataire, et celles-ci contenaient les données personnelles de 18 sujets différents.
Même un parti politique en Hongrie a dû payer une amende relative au RGPD, car il n’a pas réussi à sécuriser sa base de données contenant les données personnelles de plus de 6 000 personnes. Un pirate anonyme a découvert une vulnérabilité, s’est introduit dans le système et a pu accéder à la base de données. Cette faille de sécurité a coûté 34 375 euros au parti politique.
L’une des infractions les plus récentes concerne la municipalité danoise de Hørsholm. Un employé du gouvernement municipal s’est fait voler son ordinateur, perdant non seulement l’appareil, mais également les données personnelles d’environ 1 600 employés de la ville, y compris des informations sensibles telles que les numéros de sécurité sociale. En mars 2020, l’autorité danoise de protection des données a infligé une amende de 7 000 euros à la municipalité.
5. Les PME ne sont pas épargnées
Les petites entreprises sont également tenues de se conformer au RGPD. Bien que les amendes soient généralement moins élevées, elles peuvent néanmoins avoir un impact important sur les revenus et le budget de l’entreprise. Si les PME ne se conforment pas au code de pratiques du RGPD, elles risquent des amendes pouvant atteindre 2 % de leur chiffre d’affaires annuel ou 10 millions d’euros, le montant le plus élevé étant retenu. Et s’il s’agit d’une véritable fuite de données, la somme double. Pourtant, selon l’enquête du RGPD sur les petites entreprises en 2019, des millions d’entreprises peinent à mettre en œuvre le règlement et ne parviennent pas à se conformer à sa complexité.
"Les PME risquent une amende jusqu'à 10 millions d'euros ou 2% de leur C.A annuel."
La mise en conformité avec le RGPD peut s’avérer délicate. Selon l’outil de statistiques et de suivi des amendes relatives au RGPD, l’autorité tchèque de protection des données a infligé une amende de 1 165 euros à une société de location de véhicules pour avoir suivi une voiture de location par GPS sans en informer le locataire. En conséquence, l’entreprise a dû payer mille euros, et pour une petite entreprise, cela peut représenter une grosse somme.
Assurer la sécurité de l’information n’est pas seulement quelque chose que vous devez garantir pour avoir la confiance de vos clients, mais également pour vous-même et votre entreprise. « Commencez à aborder la sécurité comme étant une question technologique et non exclusivement comme un fardeau bureaucratique, » déclare l’expert en informatique Jaroslav Oster, « et prêtez attention à la formation de vos collaborateurs. Ce sont eux qui peuvent mettre votre entreprise en danger. » Si les droits des clients ne sont pas garantis ou si des données personnelles sont volées, le RGPD ne fera aucune exception.