Articles
Amende de British Airways réduite à 20 millions de livres
octobre 2020
Le Bureau du commissaire à l’information réduit considérablement l’amende prévue suite aux soumissions de BA et à un examen complet des questions.
En septembre 2018, nous avions écrit au sujet de BA subissant une violation de données à grande échelle suite à une attaque criminelle sophistiquée qui impliquait le mauvais acteur compromettant les systèmes de BA en utilisant abusivement des identifiants légitimes que BA avait donnés à un membre du personnel d’un fournisseur de services tiers. À la suite de la violation, l’ICO a annoncé son intention d’infliger une amende de 183 millions de livres à BA, cependant, suite à trois séries de soumissions de BA, l’ICO a maintenant émis un avis qu’il inflige une amende de 20 millions de livres à BA (initialement réduite à 30 millions de livres puis à 20 millions de livres incluant une déduction COVID-19 de 3 millions de livres) pour la violation de données qui a affecté plus de 400 000 clients de BA ; et a permis un accès illégal à plus de 100 000 détails de cartes de crédit.
Bien que la réduction de l’amende de plus de 160 millions de livres soit perçue comme un succès par BA, compte tenu des défis plus larges auxquels fait face l’industrie aéronautique, l’amende reste indésirable. Cela dit, du point de vue d’un observateur extérieur, 20 millions de livres sembleraient une sanction et un moyen de dissuasion beaucoup plus importants, si l’ICO n’avait pas initialement indiqué un chiffre beaucoup plus élevé.
Les problèmes de BA découlent du fait d’avoir des systèmes informatiques en place qui ne fournissaient pas un degré de sécurité adéquat, particulièrement compte tenu du volume et de la nature des données personnelles traitées. De plus, des informations étaient conservées dont BA n’avait pas besoin (ou n’avait même pas l’intention de conserver). BA n’a même pas découvert elle-même la violation de sécurité, indiquant une surveillance réseau inadéquate, mais a plutôt été informée d’une anomalie par un tiers observateur qui a déclenché ses efforts de réponse. Il y a toujours un défi à se préparer et à prévenir toutes les attaques possibles d’acteurs malveillants, cependant l’approche de BA était considérée comme inadéquate, ce qui a conduit à cette amende. BA a le droit de faire appel donc ce processus pourrait ne pas être encore terminé.
Pour éviter de se retrouver dans une position similaire, il est essentiel que les entreprises aient les systèmes techniques et organisationnels en place pour protéger les données personnelles qu’elles traitent et qu’elles déploient des outils de surveillance automatisés scannant les anomalies système qui peuvent indiquer qu’une violation de données personnelles se produit. De telles mesures devraient être proportionnées à la nature (par exemple volume, risque, sensibilité) des données personnelles traitées. Il convient également de considérer de ne conserver les données personnelles que le temps nécessaire avec une opérationnalisation appropriée des politiques de conservation des données.
BA obtient du crédit pour sa réponse à la violation une fois découverte. Sous le RGPD, compte tenu de la gravité de la violation et des risques pour les clients, BA était obligée de notifier rapidement l’ICO, ce qu’elle a fait, suggérant que ses processus internes autour du signalement de violation de données étaient à jour. Comme mentionné dans notre article précédent, le signalement de violation de données (introduit par le RGPD) a apporté un nouvel angle à la façon dont les organisations répondent aux violations de données. Les violations n’ont pas nécessairement besoin d’être signalées à moins qu’elles ne soient de nature grave mais lorsqu’elles sont signalables, il y a des délais serrés pour l’action. Compte tenu des délais requis, le temps qu’il peut falloir pour identifier la nature d’une violation et si elle est signalable, avoir des politiques, procédures et lignes de signalement claires évite la confusion, permet aux violations signalables d’être correctement identifiées, et atténue la publicité et les retombées réglementaires d’une approche confuse ou non conforme. Les organisations avec des programmes de protection des données matures organisent des simulations régulières de violation de données personnelles pour répéter leurs temps de réponse et leur efficacité.
Être préparé à gérer une violation implique d’identifier les personnes au sein de votre organisation qui ont la responsabilité de la protection des données, de s’assurer que les employés connaissent l’importance de signaler une violation, d’établir des critères clés pour la prise de décision et de tenir un registre non seulement des violations signalables mais aussi des violations non signalables qui inclut votre justification pour ne pas signaler.
Étant donné que deux ans et demi se sont écoulés depuis l’introduction du RGPD, il pourrait être opportun de considérer réviser les politiques et procédures de votre organisation autour de la protection des données et si beaucoup a changé dans la façon dont vous gérez les données personnelles depuis qu’elles ont été mises en place. Les organisations sophistiquées engagent de plus en plus des hackers « white hat » pour tester leur sécurité des données afin d’identifier les points faibles avant que les mauvais acteurs ne le fassent. Compte tenu de la nature continue du travail vers la conformité RGPD, si vos politiques et procédures de réponse aux violations de données n’ont pas été examinées depuis qu’elles ont été assemblées, le rappel des implications financières et de publicité des échecs dans ce domaine pourrait inciter à une révision attendue depuis longtemps !
Cet article a été préparé par les avocats seniors en PI de HGF James Talbot et Emily Nousios. Si vous souhaitez des conseils supplémentaires sur cette question ou toute autre question, veuillez contacter James ou Emily. Alternativement, vous pouvez contacter votre représentant HGF habituel ou visiter notre page Contact pour entrer en contact avec votre bureau HGF le plus proche.