RGPD: 160 000 violations de données ont déjà été signalées, alors attendez-vous à de lourdes amendes
Le nombre d’infractions signalées chaque jour continue d’augmenter – et le nombre d’amendes importantes suivra bientôt.
Plus de 160 000 notifications de violation de données ont été faites aux autorités au cours des 18 mois qui ont suivi l’entrée en vigueur du nouveau règlement européen sur la confidentialité des données, et le nombre de violations et d’autres incidents de sécurité signalés est en augmentation.
L’analyse du cabinet d’avocats DLA Piper a révélé qu’après l’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les huit premiers mois ont enregistré en moyenne 247 notifications de violation par jour. Depuis lors, ce chiffre est passé à 278 notifications par jour en moyenne.
« Le RGPD a propulsé la question de la violation des données au grand jour. Le taux de notification de violation a augmenté de plus de 12% par rapport au rapport de l’année dernière et les régulateurs ont été occupés à tester leurs nouveaux pouvoirs pour sanctionner et infliger des amendes aux organisations », a déclaré Ross McKean, associé chez DLA Piper, spécialisé dans la cyber et la protection des données.
L’enquête sur la violation des données du RGPD calcule également le coût total des amendes liées au RGPD payées jusqu’à présent à 114 millions d’euros (126 millions de dollars / 97 millions de livres sterling). La plus grosse amende payée à ce jour est une amende de 50 millions d’euros octroyée par Google à la CNIL pour violation de la transparence et du consentement.
Le UK Information Commissioner’s Office a infligé deux amendes plus importantes en cas d’atteinte à la protection des données, mais actuellement aucune des organisations concernées n’est parvenue à un accord final sur les paiements.
En juillet de l’année dernière, British Airways a été condamnée à une amende de 183 millions de livres sterling ( 238 millions de dollars / 213 millions d’euros) à la suite de cyberattaques contre ses systèmes, qui ont entraîné le vol de 500 000 clients par des pirates informatiques .
Suite à ce qui a été décrit comme une « enquête approfondie », l’OIC a conclu que les informations étaient compromises par de « mauvaises dispositions de sécurité » chez British Airways. À l’époque, la compagnie aérienne a clairement indiqué qu’elle n’était pas satisfaite de l’amende, déclarant qu’elle était « surprise et déçue ».
Puis, un jour plus tard, l’ICO a infligé une amende de 99 millions de livres sterling (124 millions de dollars / 112 millions d’euros) à Marriott Hotels pour une violation de données qui a révélé les données personnelles de 339 millions de clients dans le monde, dont 30 millions de citoyens européens et sept millions de citoyens britanniques.
Des pirates ont violé les hôtels Starwood en 2014; cette chaîne d’hôtel a ensuite été achetée par Marriott en 2016, mais l’infraction n’a été découverte et corrigée qu’en 2018. Une déclaration de Marriott au moment de la notification de la pénalité a déclaré que la société était « profondément déçue » par l’amende proposée.
Marriott et British Airways font appel de leurs amendes.
En vertu du RGPD, les organisations peuvent être condamnées à une amende pouvant atteindre 4% de leur chiffre d’affaires annuel si elles ont été jugées irresponsables en matière de sécurité à la suite d’une violation de données. Malgré cela, on estime que seulement un tiers des organisations sont entièrement conformes au RGPD .
Le montant total des amendes de 114 millions d’euros infligées à ce jour est relativement faible par rapport aux amendes maximales potentielles qui peuvent être imposées en vertu du RGPD, ce qui indique que nous en sommes encore aux premiers jours de son application, a déclaré McKean.
« Nous nous attendons à voir l’élan s’accélérer avec plus de plusieurs millions d’euros d’amendes infligées au cours de l’année à venir alors que les régulateurs intensifient leurs activités d’application. »
Retour à la liste