Protection des données : deux amendes record au Royaume Uni
L’ICO a infligé des amendes historiques au titre du Règlement général sur la protection des données (RGPD), condamnant British Airways à environ 22 millions d’euros et le groupe Marriott à environ 20 millions d’euros. Le premier avait rendu accessibles les noms, prénoms et adresses de près de 430 000 clients, dont 200 000 ont vu également leurs données bancaires divulguées. Le groupe hôtelier Marriott a quant à lui publié les noms, prénoms, e-mails et numéros de passeport de 339 millions de comptes clients, dont 30 millions de comptes européens.
Ces amendes rappellent les fortes exigences pesant sur de telles sociétés, responsables de très nombreuses données personnelles, et disposant de moyens financiers et d’un personnel qualifié pour assurer un haut niveau de sécurité. Une décision d’une ampleur similaire avait déjà été prononcée par l’autorité de protection allemande, qui avait sanctionné un opérateur télécom à hauteur de 10 millions d’euros en décembre 2019. Le RGPD fait de la sécurité des données un principe général, et prévoit que les manquements à ses obligations peuvent être sanctionnés jusqu’à 10 millions d’euros d’amendes, ou 2 % du chiffre d’affaires mondial.
Cette décision de l’ICO intervient à la fin de la période transitoire d’application du RGPD au Royaume-Uni dans le cadre du Brexit. Applicable jusqu’au 31 décembre 2020, le texte pourra cependant être renouvelé pour une période d’un à deux ans, pour assurer une pleine protection des données personnelles des ressortissants anglais.
Louise Tydgadt