Last Updated:

RGPD : 160 000 signalements de fuites de données déjà enregistrés, les amendes vont pleuvoir

Plus de 160 000 signalements de fuites de données ont été adressés aux autorités au cours des 18 mois qui ont suivi l'entrée en vigueur de la nouvelle réglementation européenne sur la protection de la vie privée dans le domaine numérique, et le nombre de plaintes ne cesse d’augmenter.

L'analyse du cabinet d'avocats DLA Piper a révélé qu'après l'entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai 2018, les huit premiers mois ont vu une moyenne de 247 signalements de fuites par jour. Depuis lors, ce chiffre est passé à une moyenne de 278 signalements par jour.

"La RGPD a permis d'attirer l'attention sur la question des fuites de données. Le taux de signalement des brèches a augmenté de plus de 12 % par rapport au rapport de l'année dernière et les régulateurs ont été occupés à tester leurs nouveaux pouvoirs de sanction et d'amende des organisations", a déclaré Ross McKean, partenaire de DLA Piper spécialisé dans la cyberprotection et la protection des données.

L'enquête sur les atteintes à la protection des données de la RGPD calcule également que le coût total des amendes jusqu'à présent s'élève à 114 millions d'euros. L'amende la plus importante a été infligée à Google par la CNIL, l'autorité française de protection des données, pour des infractions liées à la transparence et au consentement, pour un montant de 50 millions d'euros.

Le bureau du commissaire à l'information britannique a infligé deux amendes plus importantes pour des infractions à la protection des données, mais aucune des organisations concernées n'a encore conclu d'accord définitif sur les paiements.

En juillet dernier, British Airways s'est vu infliger une amende de 183 millions de livres sterling (213 millions d'euros) à la suite de cyberattaques contre ses systèmes qui ont entraîné le vol par des pirates informatiques des données personnelles d'environ 500 000 clients.

À la suite de ce qui a été décrit comme une "enquête approfondie", l'OIC a conclu que les informations étaient compromises par "de mauvaises dispositions de sécurité" chez British Airways. À l'époque, la compagnie aérienne a clairement fait savoir qu'elle n'était pas satisfaite de l'amende, se déclarant "surprise et déçue".

Puis, le lendemain, l'OIC a infligé une amende de 99 millions de livres (116 millions d'euros) à Marriott Hotels pour une utilisation frauduleuse de données qui a révélé les informations personnelles de 339 millions de clients dans le monde, dont 30 millions de citoyens européens et 7 millions de citoyens britanniques.

Les pirates informatiques ont ouvert une brèche dans les données de Starwood Hotels en 2014 ; cette chaîne hôtelière a ensuite été rachetée par Marriott en 2016, mais la brèche n'a été découverte et réparée qu'en 2018. Une déclaration de Marriott au moment de l'imposition de la sanction a indiqué que l'entreprise était "profondément déçue" par l'amende imposée. 

Marriott et British Airways ont fait appel de leurs amendes.

Selon la RGPD, les organisations peuvent se voir infliger une amende allant jusqu'à quatre pour cent de leur chiffre d'affaires annuel si elles ont été jugées irresponsables en matière de sécurité à la suite d'une fuite de données. Malgré cela, on estime qu'un tiers seulement des organisations sont totalement conformes à la RGPD.

Nous nous attendons à ce que la dynamique s'accélère avec l'imposition de nouvelles amendes de plusieurs millions d'euros au cours de l'année à venir, à mesure que les régulateurs intensifieront leurs activités d'application
Ross McKean

Le montant total des amendes de 114 millions d'euros infligées à ce jour est relativement faible par rapport aux amendes maximales potentielles qui peuvent être imposées dans le cadre de la RGPD, ce qui indique que nous n'en sommes qu'aux premiers jours de l'application de la loi, a déclaré M. McKean.

Source : https://www.zdnet.com/article/gdpr-160000-data-breaches-reported-already-so-expect-the-big-fines-to-follow/