Dans ce blogue, Philip Ingram explore les guerres de données à venir et la lutte pour la protection des données personnelles par diverses organisations au Royaume-Uni.
Elizabeth Denham, commissaire à l’information et à la protection de la vie privée du Royaume-Uni, a eu la tâche ardue de préparer son bureau et les entreprises du Royaume-Uni à GDPR dans un cadre Brexit élargi. Bien qu’elle dispose de sa propre équipe qui fournit des conseils juridiques, de nombreux cabinets d’avocats et de cyber-consultants traditionnels se sont lancés dans le domaine de la protection des données, ont reçu d’énormes amendes en cas de non-respect des règles du GDPR (jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé étant retenu).
Nous savons comment le cyberespace s’est développé et touche tous les aspects de notre vie. On nous parle constamment de cyber-attaques et de vol de nos données personnelles, nous voyons maintenant des entreprises de médias sociaux dont on parle au Parlement britannique et qui sont accusées d’utiliser à mauvais escient les données personnelles de leurs clients. Tout cela mène à un autre grand secteur de croissance. C’est le domaine du « cyber-litige».
La ou les paille(s) qui ont brisé le dos du chameau
La lutte contre la protection des données à caractère personnel a été mise en avant dans des affaires comme celle du scandale Facebook et Cambridge Analytica où le Dr Aleksandr Kogan, professeur à l’Université de Cambridge, a utilisé un questionnaire de personnalité pour recueillir jusqu’à 87 millions de détails sur les utilisateurs de Facebook. Un élément des données a ensuite été partagé avec le cabinet de conseil politique Cambridge Analytica et a été utilisé pour cibler la publicité politique aux États-Unis.
L’Information Commissioner’s Office du Royaume-Uni (ICO) a infligé à Facebook une amende de 500 000 £ pour l’incident, avant que les nouvelles règles du GDPR sont entrées en vigueur. Au cours de son enquête, l’OIC a analysé 700 téraoctets de données, soit 52 milliards de pages. Toutefois, Facebook fait appel de l’amende car il n’y a aucune preuve que les données des utilisateurs britanniques ont été mal gérées.
Il s’agit de l’une des nombreuses amendes que nous avons vues cette année avant l’entrée en vigueur du GDPR. Fin novembre, l’OIC a annoncé une amende de 385 000 livres sterling contre le bras européen d’Uber pour une infraction remontant à 2016, date à laquelle 35 millions d’utilisateurs dans le monde et 3,7 millions de conducteurs ont été perdus. L’amende maximale avant le GDPR est de 500 000 livres sterling.
L’erreur qu’Uber a commise a été de ne pas divulguer l’attaque et de se conformer aux exigences des pirates informatiques et de payer une « prime aux bogues » de 100 000 dollars, que l’OIC a qualifiée de « fondamentalement différente des destinataires légitimes de la prime aux bogues » car ils avaient de mauvaises intentions.
Qu’est-ce qu’une atteinte à la protection des données?
Étant donné le potentiel d’augmentation considérable des amendes. L’OIC a consacré beaucoup d’efforts à son site Web, car toutes les informations concernant le GDPR, la protection des données et bien plus encore…. Bien sûr, c’est là qu’il faut aller lorsqu’on cherche à répondre à la question « qu’est-ce qu’une atteinte à la protection des données? »
Une atteinte à la protection des données s’applique à ce que l’on appelle les « données personnelles », mais elle comporte quelques couches supplémentaires. Elle peut être définie au sens large comme « un incident de sécurité qui a porté atteinte à la confidentialité, à l’intégrité ou à la disponibilité des données personnelles ». Il y a donc atteinte à la protection des données personnelles lorsque des données personnelles sont perdues, détruites, corrompues, divulguées ou rendues indisponibles, par exemple lorsqu’elles ont été chiffrées par un logiciel de rançon.
Une fois qu’une violation telle que définie ci-dessus a été identifiée, une organisation est tenue de la signaler aux autorités de surveillance compétentes. Cela doit être fait dans les 72 heures suivant la prise de connaissance de l’infraction. En outre, s’il existe un risque élevé que les droits et libertés des individus soient lésés, ils doivent être informés sans délai – c’est dans cette affaire qu’Uber a échoué.
Ce qui est intéressant, c’est que les organisations sont à l’écoute; ce n’est qu’un début, mais depuis la mise en œuvre du GDPR, selon les statistiques de l’OIC sur le signalement des atteintes à la protection des données, le nombre de ces atteintes a quadruplé au Royaume-Uni. Cela ne signifie pas qu’il y a une augmentation du nombre d’infractions, mais simplement une augmentation du nombre de signalements, maintenant qu’il est devenu obligatoire. On s’attend à ce que cette tendance à la hausse se poursuive à mesure qu’un plus grand nombre d’entreprises prendront conscience du GDPR.
Principales atteintes à la protection des données en 2018
Récemment, lors d’un débat, quatre avocats de Queen’s Counsel du cabinet d’avocats cyber spécialisé 36 Commercial ont conclus qu’il est probable que le nombre de litiges liés à GDPR augmentera considérablement en raison du précédent établi par la Haute Cour à la suite de la fuite de données sur les clients de la chaîne de supermarchés britannique Morrisons par un employé condamné. Morrisons, en tant qu’entreprise, était toujours tenue responsable et pouvait faire l’objet d’un recours collectif de la part de clients dont les données avaient été volées.
Les atteintes à la protection des données se poursuivent même après que les entreprises se sont préparées à la mise en œuvre du GDPR. En septembre, British Airways a admis avoir violé (pendant plusieurs jours) 380 000 transactions de réservation dans le cadre desquelles les données personnelles des passagers, y compris les détails de leur carte de crédit et de leur passeport, ont été volées lors d’une attaque sophistiquée.
Pas plus tard que ce mois-ci, nous avons appris que le système de réservation du groupe hôtelier Marriott a été piraté et que jusqu’à 500 millions de dossiers ont peut-être été volés. La conséquence immédiate a été une baisse de 6 % de la valeur des actions et divers commentateurs s’attendent à ce que les lourdes amendes du GDPR soient infligées à l’industrie de l’accueil.
Des défis continus
L’OIC du Royaume-Uni a de réels défis à relever, mais son approche n’est pas conçue pour punir en premier lieu. Au lieu de cela, ils choisiront «d’encourager » les meilleures pratiques et un changement d’attitude. Cette révision consistera à reconnaître que les données personnelles ne sont pas la propriété de l’entreprise, mais qu’elles sont simplement prêtées et doivent être protégées et traitées correctement.
Jusqu’à présent, l’OIC a enregistré de nombreuses victoires, prenant 71 actions cette année; toutes n’étaient pas contre des sociétés commerciales et toutes n’étaient pas assorties d’amendes. Même si nous n’avons pas encore vu toute la force du GDPR s’exercer, il est clair que personne n’est exempté.
À l’avenir, l’organisation d’Elizabeth Denham participera désormais à l’examen de l’impact de la rupture de la chaîne hôtelière Marriott et les organisations retiendront collectivement leur souffle pour les premières amendes du GDPR. Toutefois, l’impact des atteintes à la protection des données n’est pas seulement une amende potentielle du GDPR, mais aussi la réputation de l’entreprise, le cours de ses actions et la vulnérabilité personnelle des membres du conseil d’administration.