Plus de 160 000 violations de données personnelles ont été notifiées aux autorités au cours des 18 mois qui ont suivi l’entrée en vigueur de la nouvelle réglementation européenne en matière de protection de la vie privée numérique, le RGPD. Ce nombre, ainsi que d’autres incidents de sécurité qui ont été signalés, ne cesse d’augmenter.
Une analyse du cabinet d’avocats DLA Piper a révélé qu’après l’entrée en vigueur du règlement général sur la protection des données (GDPR) le 25 mai 2018, les huit premiers mois ont vu une moyenne de 247 notifications d’infraction par jour. Depuis lors, ce chiffre est passé à une moyenne de 278 signalements quotidiens.
« Le GDPR a permis d’attirer l’attention sur la question de la protection des données personnelles. Les signalements concernant la violation de cette réglementation a augmenté de plus de 12 % par rapport au rapport de l’année dernière, et les régulateurs ont été occupés à tester leur nouveau pouvoir de sanction et d’amende auprès de différentes organisations », a déclaré Ross McKean, associé chez DLA Piper, et spécialisé dans la cyberprotection et la protection des données.
publicité
Des amendes élevées
L’enquête sur les atteintes aux données personnelles calcule également le coût total des amendes liées au RGPD : le montant payé jusqu’à présent s’élève à 114 millions d’euros. L’amende la plus importante – 50 millions d’euros – a été infligée par la CNIL à Google pour des infractions concernant la transparence des informations et le consentement des utilisateurs.
La Commission nationale de l’informatique et des libertés (Cnil) a administré une amende au géant américain pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. L’Allemagne et l’Autriche sont à la deuxième et troisième place en valeur total des amendes avec 24,5 millions et 18 millions d’euros respectivement.
En Grande Bretagne aussi les amendes pleuvent. Mais comme les sociétés majeures mises en cause ces derniers mois l’ont été avant l’application du RGPD, les montants ne sont pas recensés dans l’étude.
En juillet dernier, British Airways s’est vu infliger une amende de 183 millions de livres sterling (213 millions d’euros) à la suite de cyberattaques contre ses systèmes qui ont entraîné le vol par des pirates informatiques des données personnelles d’environ 500 000 clients. A la suite d’une « enquête approfondie », l’Information Commissioner’s Office du Royaume-Uni a conclu que les données ont été compromises à cause de « dispositifs de sécurité insuffisants » de la compagnie aérienne. Elle a clairement indiqué son insatisfaction, se déclarant « surprise et déçue » par l’amende.
Le lendemain, le même bureau infligeait une amende de 99 millions de livres (112 millions d’euros) à Marriot pour une fuite de données révélant les informations personnelles de 339 millions de clients dans le monde, dont 30 millions de citoyens européens. En 2014, des pirates avaient ouvert une brèche dans les données de Starwood Hotels – racheté par Marriott en 2016. Or la faille n’a été découverte et réparée qu’en 2018. La compagnie hôtelière s’est déclarée « profondément déçue » à l’annonce de la sanction.
En vertu du RGPD, les organisations peuvent se voir infliger une amende allant jusqu’à 4 % de leur chiffre d’affaires annuel, si elles sont jugées irresponsables en matière de sécurité à la suite d’une fuite de données. Malgré cela, on estime qu’un tiers seulement des organisations sont totalement conformes à cette règlementation.
Bien que le montant de 114 millions d’euros paraisse élevé, il est finalement faible comparé au maximum d’amendes qui pourraient être imposé par le RGPD, ce qui est normal puisque nous sommes encore au début de l’application de cette règlementation, explique Ross McKean. « Il faut s’attendre à ce que la dynamique s’accélère avec de nouvelles amendes de plusieurs millions d’euros au cours de l’année, à mesure que les régulateurs intensifieront l’application de la règlementation ».
Source : ZDNet.com
Comments