On sait depuis l’entrée en vigueur du RGPD que les amendes prononcées seront importantes, en raison de l’article 83 qui impose que les amendes prononcées soient “effectives, proportionnées et dissuasives”. Or, pour les très grandes entreprises, des amendes de quelques millions d’euros ne sont pas dissuasives, ce qui impose juridiquement aux autorités nationales de contrôle un plancher minimum de 50 à 100 millions d’euros. C’est notamment ce qui avait décidé la CNIL à sanctionner Google à 50 millions d’euros.
Le RGPD est, en cela, une règlementation structurelle qu’il est essentiel de maîtriser, car les amendes ne vont pas faire que se multiplier ; cette règlementation n’est pas complexe en soi, mais il est essentiel d’avoir les bons outils RGPD.
Revenons rapidement sur les deux affaires pour comprendre les faits et les erreurs commises par les entreprises.
Première affaire : British Airways (203 millions d’euros)
Suite à une investigation de la CNIL anglaise, British Airways s’est vu notifié un projet de sanction d’un montant de £183.39m (203 millions d’euros) en raison d’un incident de sécurité ayant conduit au détournement de son site web. Suite à des négligences de sécurité informatique, le trafic du site web avait été redirigé vers un site frauduleux qui avait été utilisé par des pirates informatiques pour capter des données personnelles, dont des données de paiement. 500.000 clients ont vu leurs données personnelles compromises dans cet incident qui a eu lieu en juin 2018.
Seconde affaire : Mariott International (110 millions d’euros)
La seconde affaire met en cause Mariott International qui a été victime d’un incident de sécurité suite à d’importantes négligences qui ont conduit les données personnelles de 339 millions de clients à être transmises à des personnes non autorisées.
L’ICO a considéré que la chaîne d’hôtels n’a pas mis en oeuvre les mesures de sécurité imposées par le RGPD.
La sécurité informatique est un élément important du RGPD qui conduit la CNIL française régulièrement à prononcer des amendes. Il faut toutefois être attentif car la sécurité informatique ne représente que 15% du processus de conformité. De nombreuses amendes, telles que l’affaire Google (50 millions d’euros) ont été prononcées pour violation des obligations essentielles du RGPD - en l’occurrence le principe de transparence.
Note : la procédure en cours en est au stade de la proposition de sanction, les deux entreprises ayant un mois pour répondre et transmettre leurs observations.