Nouvelles

Rappel brutal des règles du RGPD  : British Airways reçoit une amende record

Rédigé par Salomé Jaussaud | 10 juil. 2019 10:17:15

 

British Airways se voit infliger une amende de 183M £ pour atteinte à la protection des données - la première amende publique prononcée dans le cadre du RGPD au Royaume-Uni

Le règlement général sur la protection des données (RGPD) a fait l'objet d'un sujet brûlant, non seulement dans l'industrie, mais aussi temporairement dans les médias. Les personnes qui ne sont pas concernés par l'IT ou de la sécurité des données, étaient au courant de la loi et soucieux de voir ce qui allait se passer. C'est un peu comme si nous devenions tous des passionnés de tennis pendant deux semaines durant le tournoi de Wimbledon. Depuis lors, des amendes (relativement peu élevées) ayant été infligées au regard des anciennes lois, le sujet avait de nouveau quitté la scène jusqu'à aujourd'hui, avec la décision du Bureau du Commissaire à l'information (ICO) de sanctionner British Airways (BA) à hauteur de 183 millions de livres sterling.

La position de la commissaire Elizabeth Denham est claire. Dans l'annonce, elle dit :

 

"Les données personnelles des individus sont en effet dites « personnelles ». Lorsqu'une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c'est plus qu'un inconvénient. C'est pourquoi la loi est claire - quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas devront se soumettre à un examen minutieux pour vérifier qu'ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée."

 

Une surprise ? Pas vraiment

La réaction au sein de l'industrie n'a pas été massive. On s'attendait à ce qu'une entreprise de renommée internationale reçoive une amende. Le fait que cela ne se soit pas produit plus tôt est simplement dû au temps qu'il faut pour que les enquêtes suivent leur cours. L'ICO traite encore tant de cas qui se sont effectivement produits avant le 25 mai 2018. À première vue, une amende 367 fois plus élevée que l'amende la plus élevée infligée précédemment au Royaume-Uni semble ahurissante, mais elle aurait pu atteindre 500 millions de livres sterling si l'on se base sur les recettes globales de British Airways. Même dans ce cas, l'ICO a eu l'occasion de présenter les nouvelles règles d'engagement à tout le monde. Il s'agissait d'une violation massive des données personnelles, donc une grosse amende était probable, mais elle aurait pu être beaucoup plus importante. L'ICO a souligné que British Airways avait coopéré à l'enquête et avait déjà pris des mesures pour améliorer la sécurité.

 

Que pouvons-nous apprendre d'autre de cette affaire marquante ?

L'existence de la brèche de la BA est connue depuis un certain temps, c'était donc une annonce attendue avec impatience. L'existence de la brèche de la BA est connue depuis un certain temps, c'était donc une annonce attendue avec impatience. Mais ce qui se passe ensuite est tout aussi prévisible. On s'attend à ce qu'il y ait un appel, mais si celui-ci est rejeté, y aura-t-il une contestation judiciaire ? Ou l'une des marques phares du Royaume-Uni paiera-t-elle l'amende et se concentrera-t-elle sur la réparation des dommages causés à sa marque ?

 

Suppression des données dans SAP

C'est bien entendu la raison pour laquelle de nombreuses entreprises ont choisi notre Suite GDPR Compliance pour SAP.

Quelques conseils : ne conservez pas de vraies données personnelles dans les systèmes de test et de développement où elles ne sont pas nécessaires. Avec une solution de masquage efficace, vous pouvez disposer de données tout aussi réalistes, sans risque de brèche. Et dans les systèmes de production, ne conservez pas les données plus longtemps que nécessaire. Supprimez les informations ou identificateurs sensibles sans avoir à les archiver.

D'ailleurs, dans un environnement non-SAP, le concept de rédaction a été débattu en Autriche, l'équivalent local de l'ICO ayant conclu que le Droit à l’Oubli est respecté si il est impossible de pouvoir revenir vers l’identité d’origine de la personne.