Les entreprises doivent se méfier du RGPD

La semaine dernière, l'Union européenne a infligé des amendes à deux grandes agences de voyage en vertu de sa loi sur la protection de la vie privée et des données, qui est entrée en vigueur il y a un an.

Marriott International, la plus grande société hôtelière au monde, et British Airways ont toutes deux été condamnées à payer des millions de dollars d'amendes en vertu du règlement général sur la protection des données de l'UE, ou RGPD.

En vertu du RGPD, toutes les entreprises traitant des données personnelles de citoyens de l'UE seront soumises à la loi, quel que soit leur emplacement. Ils sont tenus de prendre les mesures appropriées pour protéger ces données personnelles.

Marriott, basé à Bethesda, dans le Maryland, a été condamné à payer $123 millions après qu'environ 383 millions de clients aient vu leurs dossiers compromis lors d'une violation de données. La société a révélé la violation en novembre dernier, affirmant qu'un tiers avait obtenu un accès non autorisé à une base de données de réservations Starwood. Marriott a acheté Starwood en 2016.

British Airways a été condamnée à une amende de $229 millions pour un incident qui a compromis les données de 500 000 clients l'année dernière.

Les deux sociétés auraient pu être condamnées à des amendes plus élevées, car le règlement autorise le prélèvement de 4% du chiffre d'affaires mondial annuel d'une entreprise à titre de sanction. Les deux prévoient de faire appel des décisions.

Pourtant, les décisions ont envoyé un message à toutes les entreprises traitant avec des citoyens européens.

"L'UE veut montrer qu'elle est sérieuse en matière de protection de la vie privée des consommateurs et des informations des personnes", a déclaré Joseph Steinberg, conseiller en cybersécurité et technologies émergentes. "Le but d'avoir GDPR c'est d'avoir du mordant et s'il n'a pas de mordant, ça ne sert à rien."

Les experts disent que d'autres entreprises, en particulier celles de l'industrie du voyage qui traitent autant d'informations personnelles de leurs clients, doivent faire preuve de prudence.

"Les entreprises ont eu beaucoup de temps pour s'y préparer et la plupart n'ont pas fait du bon travail", a déclaré Steinberg. "Si vous n'êtes pas à la hauteur, ce serait le bon moment pour passer à autre chose … Si vous opérez en Europe ou si vous avez des actifs en Europe, vous devez être très, très prudent en ce moment."

Marriott se trouvait dans une position particulièrement vulnérable car la violation de données, selon la société, impliquait des clients qui avaient effectué des réservations dans un établissement Starwood avant la fusion des systèmes de réservation des deux entités. Pourtant, Marriott aurait fait preuve de diligence raisonnable avant d'acquérir la société en vérifiant ses protocoles de sécurité, ont déclaré des experts.

"Toutes les entreprises qui traitent des informations personnelles - c'est-à-dire toutes les agences de voyage, à l'exception peut-être des bus locaux qui ne prennent que de l'argent liquide - doivent s'en soucier", a déclaré Bruce Schneier, un technologue en sécurité qui a écrit plus d'une douzaine de livres sur le sujet. "Et comme toutes les autres entreprises de la planète, les agences de voyage ne sont pas à l'abri d'acquérir des entreprises qui ont des pratiques de sécurité pires qu'elles."

Stu Sjouwerman, fondateur et PDG de KnowBe4 Inc., qui organise une formation de sensibilisation à la sécurité, a déclaré que le langage du RGPD n'est pas clair.

Elizabeth Denham, commissaire du Bureau du commissaire à l'information du Royaume-Uni (ICO), qui a imposé les amendes, a déclaré en annonçant les amendes que « lorsque vous êtes chargé de données personnelles, vous devez en prendre soin. Ceux qui ne le feront pas feront l'objet d'un examen minutieux de la part de mon bureau pour vérifier qu'ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée.

"Ce qui vaut la peine d'être noté, c'est le mot" approprié ", a déclaré Sjouwerman. "Il n'y a pas de définition claire de ce qui est ou n'est pas approprié dans GDPR…. Il incombe donc aux entreprises de démontrer qu'elles prennent la sécurité au sérieux et qu'elles ont mis en place de bons contrôles et mesures pour protéger les données personnelles.

Conclusion : les entreprises ont intérêt à se méfier.

Adam Levin, fondateur de CyberScout et auteur de "Swiped: How to Protect You Yourself in a World Full of Scammers, Phishers, and Identity Thieves", a déclaré que l'UE n'est pas la seule. De nombreux autres pays ont des lois similaires, et il ne voit personne faire preuve de douceur envers les entreprises dans ce qu'il appelle une cyberguerre.

"Vous parlez d'une pandémie", a-t-il dit. « C'est un problème international.

Des pays comme l'Australie, le Brésil, la Thaïlande et les Philippines ont également des lois sur la protection de la vie privée. Aux États-Unis, le California Consumer Privacy Act a été promulgué l'été dernier. Il donne aux consommateurs le droit de savoir quelles entreprises collectent et partagent leurs données et de s'y opposer.

«Nous allons en voir plus. Nous n'allons pas seulement le voir par le RGPD. Nous allons également voir cela par le biais d'autres comtés qui ont mis en place l'équivalent du RGPD », a déclaré Levin. "Cela se répand."

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *