Ces dernières semaines, deux multinationales ont ressenti la puissance du règlement général sur la protection des données (RGPD), les régulateurs européens montrant qu’ils ne plaisantent pas lorsqu’il s’agit d’imposer de lourdes amendes et de prendre des mesures coercitives sévères.
British Airways s’est vu infliger la plus grosse amende jamais perçue dans le cadre du GDPR, entré en vigueur en mai 2018. L’Information Commissioner’s Office a imposé une amende de 183 millions de livres sterling, soit l’équivalent de 1,5 % du chiffre d’affaires de la compagnie aérienne en 2017. La compagnie aérienne a admis que des données avaient été volées par des pirates informatiques en août dernier sur son site web et son application mobile. Un jour plus tard, la chaîne hôtelière américaine Marriott a été condamnée à une amende de 99,2 millions de livres sterling parce que des pirates avaient volé les données de 339 millions de clients. Le groupe Marriott a été condamné à une amende de 99,2 millions de livres sterling parce que des pirates ont dérobé les données de 339 millions de clients, faute d’avoir fait preuve d’une diligence raisonnable suffisante à l’égard de la base de données de la chaîne hôtelière Starwood, achetée en 2016. British Airways et Marriott ont déclaré qu’ils feraient appel, mais il est indéniable que des violations ont eu lieu, et il semble peu probable que l’autorité de régulation fasse marche arrière. Le GDPR a également entraîné une augmentation des notifications, de nombreuses entreprises étant manifestement inquiètes des sanctions qu’elles pourraient encourir si elles ne le faisaient pas. Il semble que ce soit un problème particulier au Royaume-Uni et une étude du cabinet d’avocats Pinsent Masons a révélé que l’ICO a reçu en moyenne 1 276 notifications par mois, alors que les chiffres pour la France, l’Italie et l’Espagne étaient respectivement de 307, 170 et 94.
Une hausse significative
Les règles stipulent que les entreprises doivent signaler les violations de données à caractère personnel au plus tard 72 heures après en avoir pris connaissance et, lorsqu’il existe un risque élevé de dommages, les personnes concernées doivent alors être informées directement. Parallèlement, un rapport distinct de l’ICO a montré qu’il avait reçu quelque 14 000 notifications de violation de données au cours de l’année écoulée depuis la mise en œuvre du GDPR (du 25 mai 2018 au 1er mai 2019), alors qu’au cours de l’année précédente, jusqu’au 31 mars 2018, seuls 3 300 rapports avaient été faits – le règlement a provoqué une augmentation de près de cinq fois. Le GDPR modifie les attitudes à l’égard des violations de données, ce qui devrait se traduire par des niveaux de sécurité plus élevés. De manière anecdotique, on dit que les entreprises qui proposent des logiciels de chiffrement connaissent un essor de leurs activités, car elles sont de plus en plus nombreuses à vouloir renforcer leur sécurité. Toutefois, il convient de noter que de nombreuses notifications concernent des violations mineures – en effet, l’ICO a déclaré que plus de 82 % des notifications depuis l’entrée en vigueur du GDPR ne nécessitaient aucune action. Le GDPR n’a pas seulement un impact au Royaume-Uni, même si l’ICO est particulièrement en vue – au cours des neuf premiers mois d’application du règlement, les régulateurs de la protection des données dans 11 pays ont perçu des amendes totalisant 56 millions d’euros, bien que ce montant ait été principalement absorbé par les 50 millions d’euros imposés à Google en janvier par l’agence française de protection des données (CNIL). L’Europe agit
Parmi les autres amendes, citons celle de 220 000 euros infligée à une société de marketing numérique, Bisnode, par l’Office polonais de protection des données personnelles. Les personnes concernées n’ont pas été informées de leurs droits en matière de protection de la vie privée – bien qu’une déclaration ait été publiée sur le site web de l’entreprise – et n’ont donc pas pu s’opposer au traitement ultérieur de leurs données, ni demander des modifications ou la suppression de celles-ci. Entre-temps, une petite amende de 2 000 euros infligée par l’autorité belge de protection des données montre que même les particuliers doivent être conscients de leurs responsabilités lorsqu’ils utilisent des informations. Dans ce cas, un maire avait collecté des adresses électroniques
pour envoyer du matériel de campagne électorale, mais n’avait pas respecté la réglementation. Bien que certains affirment que le GDPR est une force négative et qu’il étouffe l’innovation, ses partisans soutiennent que le règlement est non seulement nécessaire, mais qu’il permettra également d’améliorer les normes à l’échelle mondiale. En effet, des rapports indiquent que des pays comme les Émirats arabes unis, le Kenya et, ce qui est peut-être surprenant, la Chine, prévoient tous d’adopter de nouvelles lois sur la protection des données. Au fur et à mesure que des entreprises de premier plan passeront sous la loupe du GDPR, la prise de conscience des responsabilités s’accroîtra. Si une technologie efficace a un rôle important à jouer, il y a aussi des questions culturelles lorsqu’il s’agit de bien traiter les données – pour certains, il peut s’agir d’une courbe d’apprentissage abrupte, mais nous pouvons également nous attendre à une plus grande conformité et à une meilleure sécurité dans tous les domaines.
