Vente à emporter (AI)
- L’ICO prévoyait d’infliger des amendes considérables à Marriott et British Airways pour des fuites de données massives et des mesures de sécurité ou de diligence raisonnable insuffisantes.
- Les mesures sont des “Notice of intention to fine” et montrent une transition à l’échelle européenne d’une surveillance consultative vers une surveillance plus punitive.
L’autorité de surveillance anglaise, l’Information Commissioner’s Office, a promis de lourdes amendes dans deux cas :
- MarriottL’entreprise a également engagé des poursuites contre Marriott International à la suite d’une fuite de données personnelles concernant quelque 339 millions de clients (dont environ 30 millions dans l’UE), pour un montant équivalent à CHF 122 millions. La fuite était due au groupe Starwood, que Marriott avait acquis en 2016. Elle n’a été découverte qu’en 2018, et ce – selon l’enquête de l’ICO – parce que Marriott avait négligé la diligence raisonnable lors de l’achat du groupe (Communiqué de presse de l’ICO);
- British AirwaysLe tribunal de première instance de Paris a condamné la compagnie aérienne British Airways à une amende de 226 millions de francs suisses, également à la suite d’une fuite de données datant de juin 2018, due à des mesures de sécurité insuffisantes de la part de British Airways, et au cours de laquelle les données personnelles (notamment les données des cartes de paiement) de quelque 500 000 personnes étaient tombées entre les mains de criminels via un site falsifié.
Dans les deux cas, il s’agit pas d’une amendeIl s’agit d’un “avis d’intention de sanction”. Les entreprises concernées ont la possibilité de prendre position sur les faits constatés et la menace d’amende.
L’action de l’ICO montre clairement – dans le contexte de la (non juridiquement contraignante) La CNIL inflige une amende à Google et correspondant Déclarations des autorités de surveillance – que les autorités sont passées, dans toute l’Europe, d’une attitude plutôt consultative à une attitude plus punitive.