par Gabriel Avigdor

Il ne fait pas bon être en violation du RGPD en Angleterre.

Le 8 juillet 2019, l’autorité de protection des données anglaise (Information Commissioner’s Office, ‘ICO’) vient d’adresser une note d’intention (‘notice of intent‘) pour sanctionner la compagnie d’aviation British Airways d’une amende – aujourd’hui record – de 183,39 millions de livres sterling (EUR 213,69 mio, CHF 232.68 mio ou USD 238.57 mio). Cette amende, si elle est confirmée, fait suite à une longue investigation en matière de protection des données liée à un vol de données de 500’000 de ses clients relatif aux données de compte, de réservations de voyages et des données de cartes de crédit. Cet incident a été notifié à l’autorité anglaise de protection des données (APD) en septembre 2018, soit sous l’égide du nouveau Règlement Général sur la Protection des Données (‘RGPD’).

Cet incident a fait couler beaucoup d’encre et fait l’objet de nombreux articles de presse pour conseiller et orienter les clients vers les bonnes pratiques à entreprendre pour limiter les risques liés à ce vol.

Edit. Le jour suivant, 9 juillet 2019, l’ICO UK a également adressé une note d’intention similaire pour sanctionner Marriott International avec une amende de £99,2 mio pour un incident compromettant des données personnelles liées à  339 millions de comptes clients dans 31 pays différents.  Après l’acquisition du Starwood hotels group en 2016, Marriott aurait découvert une faille de sécurité compromettant les données personnelles. Le problème est que la faille de sécurité datait de 2014, ce qui implique que Marriott a mis plus de 4 ans avant de s’en rendre compte. L’autorité anglaise a insisté sur la nécessité de considérer la conformité en matière de protection des données lors de fusions & acquisitions. Se posent de nombreuses questions, en particulier au niveau de la due diligence, des clauses de garanties (comment garantir une conformité alors qu’aucune  certification complète n’existe à ce jour) et du prix de vente. Nous reviendrons sur ce sujet essentiel dans un prochain post de blog.

________________________________

RAPPEL DE L’INCIDENT ET DONNÉES CONCERNÉES

En septembre 2018, la presse relatait l’inquiétante fuite de données liées à un vol effectué par détournement des utilisateurs de British Airways vers un site de phishing (faux site aux apparences identiques à un site officiel mis en place dans le but de voler des données personnelles ou importantes et permettant de commettre des infractions). La manœuvre opérée lors de ce cyber-incident  a consisté à détourner le site officiel de British Airways vers une fausse adresse Internet permettant aux hackers de collecter des identifiants de compte de clients pour ainsi dérober des données de cartes de crédit.

Le vol de données s’était produit pendant une période relativement longue, soit entre le 21 août et le 5 septembre 2018 concernant  380’000 transactions. Le patron de la compagnie d’aviation s’était même excusé publiquement de cet incident. Une des problématiques de cet incident est la tardiveté de l’annonce par British Airways ainsi que la (relative) longue durée au cours de laquelle la fuite s’est déroulée, soit pendant près de 2 semaines (16 jours).

Sur son site internet, British Airways avait annoncé la faille aux autorités, mais également à tous ses clients, pour permettre aux clients de savoir quelles démarches entreprendre pour limiter les risques pour ceux dont les données ont été compromises. Ces actions correspondent aux obligations d’une part, d’informer l’autorité de contrôle dans les 72 heures suivant la connaissance de l’incident (art. 33 al. 1 RGPD), d’autre part, d’informer les personnes concernées sans délai lorsque “la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique” (art. 34 al. 1 RGPD).

Au cours de son investigation, l’autorité anglaise a conclu au vol de données clients suivantes:

• coordonnées clients, dont les noms et prénoms et identifiants pour se connecter à leurs compte
• informations de cartes de paiements, dont le numéro de carte (crédit) incluant le code de contrôle CVV à 3 chiffres
• informations sur les réservations faites par les utilisateurs

et que ce vol avait été le résultat de l’utilisation, par British Airways, de lacunes et mauvaises pratiques en matière de sécurité mises en place pour protéger les données d’utilisateurs via son site internet et son App mobile.

________________________________

COMMUNIQUÉ DE LA COMMISSAIRE A LA PROTECTION DES DONNÉES

Dans son communiqué de ce jour, Elizabeth Denham, la Commissaire à la protection des données en Angleterre, a clairement prévenu les responsables du traitement :

“Les données personnelles des individus ont cette caractéristique – elles sont personnelles. Lorsqu’une organisation manque de les protéger contre une perte, un dommage ou un vol, ce n’est pas uniquement gênant. C’est pourquoi la loi est claire – lorsque l’on vous confie des données personnelles, vous devez les traiter avec soins. Ceux qui ne le font pas, feront l’objet d’un examen approfondi de mon cabinet pour s’assurer que toutes les mesures appropriées ont été entreprises pour protéger les droits fondamentaux au respect de la vie privée.”

Cette communication est claire sur la manière d’appréhender les pratiques en matière de sécurité des données, obligation qui peut faire l’objet d’une amende allant jusqu’à 2% du chiffre d’affaire annuel pour violation de l’article 32 RGPD. De plus, il est possible que cette amende soit combinée avec la violation du principe fondamental de sécurité, dont la sanction financière peut se monter à 4% du CA annuel (art. 5 lit. f RGPD). Une combinaison de la violation de ces principes est possible pour calculer le montant de l’amende, tout comme la manière de collaborer, les mesures mises en place par le responsable du traitement des données parmi d’autres paramètres. Avec cet incident, British Airways a probablement également violé d’autres dispositions du RGPD, ce qui sera intéressant de lire lors de la décision finale de l’autorité de contrôle anglaise, notamment pour le calcul de l’amende.

________________________________

UNE NOTE D’INTENTION A CONFIRMER ET ELEMENTS DE PROCEDURE

S’il ne s’agit encore que d’une proposition de sanction, qui à ce jour n’est pas encore entrée en force. Toutefois, l’intention de la Commissaire est plutôt ferme et sera très vraisemblablement confirmée prochainement lorsque British Airways aura eu l’occasion de fournir ses contre-arguments et d’indiquer sa position sur ce dossier.

Selon la politique de l’ICO (voir p. 23), l’autorité adresse d’abord une note d’intention (Notice of Intent – ‘NOI’) avant d’émettre sa sanction finale sujette à appel. Dans un délai d’un minimum 21 jours, des auditions, explications et preuves de conformité ainsi que des contre-arguments pourrait être soumis à l’autorité avant que le montant final soit décidé. Cette procédure peut durant encore plusieurs mois avant que tombe la décision finale. L’ICO adressera alors sa “monetary penalty notice” (MPN) ouvrant alors le droit au responsable du traitement de déposer sous 28 jours un appel devant le tribunal de première instance anglais.

Cette proposition d’amende est le résultat d’une concertation entre plusieurs autorités européenne de protection des données, l’ICO agissant comme autorité de contrôle “chef de file” (mieux nommée “lead supervisory authority” en anglais) selon l’article 56 RGPD et selon le mécanisme de “One-Stop-Shop” qui consiste à ce qu’une seule autorité puisse traiter du dossier même lorsque d’autres peuvent être compétentes. Ce mécanisme trouve son utilité lorsque des individus sont affectés dans plusieurs pays donnant à plusieurs autorités la compétence de se saisir de l’affaire et s’applique uniquement en cas de traitement transfrontalier de données personnelles (art. 56 al. 1 RGPD). Cette décision n’interviendra qu’après avoir entendu les arguments de BA et consulté les autres autorités de protection des données compétentes selon le lieu de résidence des personnes affectées par l’incident.

________________________________

SANCTION PROCHE DU MAXIMUM ET CRITÈRES UTILISÉS

Avec cette sanction financière, l’ICO UK est la première autorité de contrôle à infliger une amende sous le RGPD pour violation du principe de sécurité des données, sanction qui est tombée malgré la notification de cette incident à l’autorité de contrôle et l’information aux personnes concernées. A noter l’absence de preuve d’infractions ou crimes commis avec les données volées. Ceci démontre que la sanction peut survenir même en l’absence de résultat concret pour les individus (similaire à une responsabilité causale, sauf qu’il s’agit d’une sanction administrative).

Si l’on considère que l’amende équivaut à 1,5% du chiffre d’affaire annuel de groupe British Airways, le maximum étant 2% selon l’article 83 al. 4 let. a RGPD, l’autorité de contrôle s’est rapprochée du montant maximal possible selon le RGPD pour ce type de violation, soit 75% du maximum. En cas de combinaison avec d’autres violation, l’ICO pourrait appliquer conjointement des critères selon la violation des principes fondamentaux (art. 83 al. 5 RGPD) selon le maximum de 4% du CA annuel du groupe.

Selon l’article 83 al. 2 let. (a) à (k), pour décider d’infliger une sanction (pécuniaire ou une autre mesure coercitive), une APD se fonde notamment sur (a) la nature, la gravité et la durée des manquements; (b) les catégories de données en cause; et (c) le caractère effectif, proportionné et dissuasif de la sanction.

La décision finale apportera plus de précision sur l’étendue de la sanction et le mode de calcul. British Airways dispose d’un délai de 28 jours pour faire appel contre cette note d’intention, ce que la compagnie a déjà annoncé vouloir faire pour se défendre cette décision considérée comme décevante vu les “efforts” consentis pour limiter les risques et les techniques “complexes” utilisées par les hackers.

________________________________

A QUAND UNE PRISE DE CONSCIENCE AU NIVEAU SUISSE ?

J’en parlais dans mon article sur les données de 800’000 clients de Swisscom volées. En droit Suisse, il n’existe à ce jour aucune disposition dans la loi fédérale sur la protection des données permettant au Préposé fédéral à la Protection des Données et à la Transparence de sanctionner directement un responsable de traitement. Seules des recommandations non-contraignantes sont possibles. La seule manière est d’utiliser la voie pénale qui prévoit une sanction maximale de CHF 10’000.- maximum (art. 34 et 35 LPD). Ces dispositions sont extrêmement limitées, car essentiellement liées à la violation du principe de transparence et n’incite aucun individu à ouvrir en procès pénal.

De plus, l’état actuel du texte révisé de la LPD (P-LPD, à lire dès la page 6815), prévoit certes une obligation d’informer le Préposé en cas d’incident dans les meilleurs délais (art. 22 P-LPD), mais sans qu’aucune sanction ne puisse être infligée au responsable du traitement en cas de violation de l’obligation d’annoncer une telle violation des données (art. 54 ss a contrario). Rappelons que le projet révisé ne prévoit qu’une sanction pénale au maximum de CHF 250’000.-, en cas d’intention ou d’omission, qui rendrait une personne physique pénalement responsable à la place de l’organisation responsable du traitement.

Vu les progrès effectués au niveau européen, mais également dans le monde (Brésil, Thaïlande, Corée du Sud, CCPA, etc.) pour permettre un meilleur contrôle des individus sur leurs données, l’approche et le timide positionnement suisse est totalement incompréhensible et absurde d’un point de vue économique. Au contraire, l’absence de (1) pouvoirs coercitifs du Préposé, (2) sanction administrative (sanctions pénales uniquement) et (3) sanction en cas de violation de notification des incidents, ne démontre pas un soucis de protéger de manière adéquate les citoyens suisses contre la mauvaise utilisation de leurs données personnelles, même avec un texte déjà très proche du RGPD (il faut tout de même le relever).

La Suisse semble se tromper de cible en voulant pénaliser l’individu et en même temps les personnes dont les données sont traitées si les règles ne sont pas assez protectrices. Il paraît grand temps que la Suisse, et ses politiques, prenne au sérieux les enjeux de la protection des données en s’alignant de manière plus complète sur les règles européennes sans pénaliser les personnes physiques.

Si la Suisse doit perdre sa décision d’adéquation, et devenir un pays tiers à l’Europe, comme pays n’ayant plus un niveau de protection adéquat pour le traitement des données personnelles, l’économie suisse devra en payer le prix fort.

A vos plumes et votre courage parlementaires !

________________________________

CONCLUSION ET RECOMMANDATIONS

Il paraît important de considérer au moins quelques points essentiels suite à cette décision, lorsque votre organisation est soumise au RGPD :

1. Notifier ne suffit pas. Respecter la notification d’un incident en matière de protection des données, soit d’informer l’autorité dans les 72 heures, ne vous exempte pas de responsabilité. De plus, une amende peut être infligée même en l’absence de dommage concret pour les personnes concernées.
2. Mesures de sécurité selon le risque. Il est essentiel de mettre en place des mesures de sécurité appropriées et robustes, considérant au cas par cas, le niveau de risque lié aux données personnelles traitées par votre organisation en qualité de responsable du traitement, le cas échéant par vos sous-traitants.
3.  Contrats béton avec vos fournisseurs. Assurez-vous de choisir avec diligence vos partenaires contractuels et d’avoir les bons contrats en place avec vos fournisseurs, incluant notamment les exigences du RGPD et des exigences en matière de sécurité selon les standards pratiqués dans l’industrie.
4.  Pratiquez des audits. Si vous n’êtes pas sûrs de vos pratiques en matière de sécurité, ou de celles de vos sous-traitants, pratiquez des audits ou demandez à vos sous-traitants des certificats d’audit, requerrez des preuves de conformité selon vos exigences en qualité de responsables de traitement.
5.  Former vos employés. Vos employés, collaborateurs, éventuellement vos fournisseurs, doivent être formés à vos pratiques en matière de sécurité.
6.  Se préparer aux incidents. Il est primordial de se préparer à des incidents en matière de protection des données. Préparez les ressources nécessaires et désignez les personnes responsables à l’interne ou à l’externe pour gérer un incident (compliance, légal, relations publiques, équipes sécurité, etc.). Munissez-vous d’une stratégie et d’un plan de réponse en cas d’incident pour limiter les risques. Vous pouvez effectuer des fausses alertes incidents et devez former vos employés.
7. Limiter les dommages. Prenez toutes les mesures pour garantir un retour à la normale en modifiant vos pratiques de sécurité. En cas d’incident, le plus gros dommage ne sera probablement pas l’amende, mais les efforts, coûts, ressources et investissements requis pour faire face à l’incident, procéder aux diagnostics, mettre en place les correctifs pour que l’incident de se répète pas. Eventuellement, les pertes de clients.
8. Suisse + pas de RGPD = pas de sanction. Pour les organisations suisses non-soumises au RGPD, une affaire de ce type n’aurait abouti à … rien!

A méditer !

—

Gabriel Avigdor, avocat, CIPP/E

www.ntic.ch | datalex.ch | penalex.ch

amende RGPDautorité de contrôlebritish airwayscartes de créditData breach GDPRElizabeth Denhamfaille de sécuritéGooglehackingICO UKInformation commissioner's officemesures de sécuriténotification d'incidentphishingRèglement général sur la protection des donnéesRGPDviolation de donnéesvol de données