Données clients : sévères amendes pour British Airways et Marriott

L’ICO ou Information Commissioner’s Office, l’office de réglementation et de protection des données, a infligé une amende de 18 millions de livres pour la chaîne hôtelière Marriott et 20 millions de livres pour la compagnie aérienne British Airways. Leur tort : une sécurité informatique insuffisante.

Marriott : plus de 300 millions de clients victimes de piratage de données

À cause d’une défaillance de sécurité informatique, le serveur de la chaîne hôtelière Marriott a été piraté. Conséquence : les données personnelles de 339 millions de personnes ont été piratées. Il s’agit notamment de données sensibles comme les noms, les dates de naissance, les adresses, les numéros de téléphone, les adresses e-mail, les numéros de passeport. Des informations relatives au programme de fidélité, aux dates d’arrivée et de départ de l’hôtel des clients font aussi partie des données dérobées.

Face au manquement, Mariott a écopé d’une amende de 18,4 millions de livres, soit 20,4 millions d’euros, infligée par l’ICO. Les fuites de données ont commencé en 2014. Le piratage n’a cessé qu’en 2018. Dans la mesure où les faits se sont déroulés avant le Brexit, l’ICO a pu appliquer le règlement général sur la protection des données (RGPD) en Europe.

Sanctionné au nom de l’Europe

L’application de la RGPD a permis à l’ICO de sanctionner au nom de certains pays européens comme la France. En effet, près de 30 millions de ressortissants européens sont victimes de cette fuite de données. Cette amende ne couvre que les manquements sur quelques semaines, une période allant de l’application de RGPD et la découverte des piratages.

Elizabeth Dunham, dirigeante de l’ICO a déclaré : « Les données personnelles sont précieuses et les entreprises doivent en prendre soin. (…) Quand l’une d’entre elles manque à ce devoir, l’impact n’est pas seulement une amende, ce qui importe le plus ce sont les gens dont l’entreprise avait le devoir de protéger les données ».

Vols de données bancaires pour les clients et les salariés de British Airways

Toujours en 2018, la compagnie aérienne British Airways a aussi écopé d’une amende de 20 millions de livres, soit 22 millions d’euros pour les mêmes faits. Si le nombre de victimes est moindre (près de 400 000 personnes sont concernées par les vols de données), les informations dérobées sont nettement plus sensibles. Clients et salariées de la compagnie British Airways se sont en effet fait dérober leurs données bancaires en plus de leurs noms, adresses, etc.

Initialement, l’ICO avait annoncé une sévère amende de 204 millions d’euros, bien loin des 50 millions d’euros infligés à Google en France en 2019. Mais face au désastre économique généré par la pandémie du Coronavirus, l’ICO s’est ravisé. La maison mère de British Airways annonce une perte de 5,6 milliards d’euros depuis le début de l’année. La compagnie a déclaré avoir alerté ses clients dès qu’elle a été informée de la cyberattaque de ses systèmes en 2018. Elle se dit être navrée d’avoir déçu ses clients, mais heureuse aussi que l’ICO ait reconnu les efforts déployés pour améliorer sa sécurité informatique. La société a aussi déclaré avoir contribué à l’enquête.

Pin It on Pinterest