English | French Canada
L’autorité britannique chargée de la protection des données impose des amendes record en vertu du RGPD
Perspectives Aon

L’autorité britannique chargée de la protection des données impose des amendes record en vertu du RGPD

 

L’autorité britannique chargée de la protection des données, l’Information Commissioner’s Office (ICO), a imposé une amende record de 183,39 millions de livres à British Airways. Les utilisateurs du site Web de British Airways ont été redirigés vers un site Web frauduleux, où leurs renseignements personnels identificatoires ont ensuite été recueillis par des fraudeurs pendant un laps de temps qui semble avoir débuté en juin 2018. L’incident a été rendu public le 6 septembre 2018; les renseignements personnels identificatoires d’environ 500 000 personnes ont été compromis, notamment des noms, des adresses de courriel, des données relatives aux cartes de crédit et aux réservations de voyage. L’ICO a indiqué que la compagnie aérienne avait coopéré dans son enquête et apporté des améliorations à sa cybersécurité. Néanmoins, l’ICO a imposé l’amende en invoquant les « mauvaises mesures de sécurité » de la compagnie comme cause de l’atteinte à la vie privée. Représentant 1,5 % du chiffre d’affaires mondial de British Airways pour 2017, l’amende de 183 millions de livres est la plus importante infligée à ce jour par l’ICO et la plus élevée jamais imposée en vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne. La société mère de British Airways, International Consolidated Airlines Group, a signifié son intention de contester l’amende.

Le 9 juillet 2019, au lendemain de l’annonce de l’amende imposée à British Airways, l’ICO a annoncé son intention d’imposer une amende de 99 200 396 de livres à Marriott International en vertu du RGPD à la suite d’une violation de données concernant le site Web du programme de fidélisation de la clientèle Starwood de la chaîne hôtelière. La violation de Starwood a compromis les renseignements personnels identificatoires contenus dans environ 339 millions de dossiers de clients, dont environ 30 millions de dossiers de résidents de l’UE, y compris 7 millions de clients dont on pense qu’ils résident au Royaume-Uni. L’ICO a déclaré que le groupe hôtelier Marriott n’avait pas effectué un contrôle diligent approprié et qu’il aurait dû en faire davantage pour sécuriser ses systèmes de réseau lors de l’acquisition de Starwood en 2016. Marriott a publiquement indiqué avoir coopéré à l’enquête de l’ICO et avoir l’intention de contester les conclusions de l’ICO.

Le RGPD est le nouveau régime législatif sur la protection des données de l’Union européenne, entré en vigueur le 25 mai 2018. Le RGPD a des effets extraterritoriaux et s’applique aux entreprises canadiennes qui recueillent des renseignements personnels de résidents de l’UE dans le cadre d’une « offre de biens ou de services » (qu’un paiement soit ou non exigé) ou du « suivi » du comportement de ces personnes. La non-conformité au RGPD peut entraîner des amendes exorbitantes pouvant s’établir au montant le plus élevé entre ce qui suit :

  • 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial d’une organisation pour des infractions en lien avec des mesures techniques, comme la notification des violations et l’analyse d’impact; ou
  • 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial d’une organisation pour non-conformité aux principales dispositions du RGPD, comme le transfert de données à caractère personnel à l’extérieur de l’UE vers des pays ou des organisations qui n’assurent pas un « niveau de protection adéquat ».

Bien que de robustes mesures internes de conformité et de cybersécurité soient les principaux mécanismes de prévention et d’atténuation des violations potentielles du RGPD, l’assurance peut jouer un rôle précieux quant au transfert des risques. Une police d’assurance cyberresponsabilité peut couvrir l’assuré contre les frais de gestion de crise engagés pour faire enquête sur une intrusion et l’atténuer, notamment les frais d’expertise judiciaire en informatique, les frais juridiques, les frais de relations publiques, les frais de notification et les frais de surveillance du crédit et de l’identité, au besoin. Pour ce qui est des frais engagés par des tiers, comme les frais liés au règlement et au jugement, ils pourraient être couverts si l’assuré est visé par des réclamations de tiers découlant d’une atteinte à la vie privée. La police d’assurance cyberresponsabilité pourrait également couvrir les frais de défense juridique en cas de réclamation ou de poursuite, ce qui comprendrait également la contestation d’une amende ou d’une pénalité en vertu du RGPD. Il n’y a actuellement aucune orientation claire quant à l’assurabilité des amendes et des pénalités encourues en vertu du RGPD en cas d’atteinte à la cybersécurité – leur assurabilité sera régie par les lois de l’État membre dans lequel l’autorité chargée de la protection des données de l’UE compétente les aura imposées. Le libellé plus large des polices de cyberassurance pourrait donner aux assurés la possibilité d’avancer que les amendes imposées en vertu du RGPD sont assurables en ajoutant un libellé affirmatif pour les amendes et pénalités civiles et non criminelles.