Cybersécurité et RGPD : deux amendes record au Royaume-Uni

Deux sociétés condamnées par l’ICO à des amendes record pour n’avoir pas su assurer la cybersécurité de leurs systèmes en violation du RGPD.

Ces amendes record doivent faire prendre conscience aux entreprises françaises de l’importance de bien protéger leurs données.

Ces décisions donnent des pistes pour bénéficier de circonstances atténuantes et réduire les amendes en cas de faille de sécurité. Elles illustrent aussi la coopération nécessaire entre autorités de protection européennes en cas de traitements transfrontaliers.

Deux amendes record pour sanctionner de graves violations de données

En octobre 2020, l’Information Commissioner’s Office (ICO), l’équivalent de la Cnil au Royaume-Uni, a épinglé la compagnie aérienne British Airways (1) et le groupe hôtelier Marriott International Inc (2) pour ne pas avoir suffisamment protégé les données de leurs clients, en violation de leur obligation de sécurité au titre du Règlement général sur la protection des données (RGPD).

Les deux amendes record, de 20 millions de livres sterling (environ 22 millions d’euros) pour British Airways et 18,4 millions de livres sterling (environ 20 millions d’euros) pour Marriott, prononcées par l’ICO rappellent le rôle clé du RGPD dans le domaine de la cybersécurité.

Rendues à quelques jours d’intervalle, ces décisions concernent deux affaires qui présentent des similitudes.

Des cyberattaques à l’origine des violations de données

Les deux sociétés disposent des moyens financiers et d’un personnel fortement qualifié pour assurer un haut niveau de sécurité. Cela n’a pas empêché les cyberattaques par des pirates toujours pas identifiés à ce jour. Ces derniers ont réussi à exploiter des failles de leurs systèmes :

• Dans le cas de British Airways, tout a commencé en 2018 par une attaque de la chaîne d’approvisionnement (3) : un pirate s’est introduit dans le réseau informatique de la compagnie aérienne par le compte non sécurisé d’un employé d’un de ses fournisseurs. Ce faisant, en tirant avantage d’autres défaillances, le pirate a redirigé les données de paiement saisies par les clients sur le site officiel de British Airways vers un autre site web contrôlé par le pirate (technique dite de « web skimming ») (4) Le pirate a ainsi dérobé les informations, telles que le nom, l’adresse, mais surtout les données bancaires (numéro et cryptogramme) de 429.612 clients de British Airways.
• Pour Marriott, le piratage a touché sa filiale Starwood (5) dès 2014. A l’aide un morceau de code malveillant appelé « web shell » (6) et de différentes techniques (chevaux de troie et Mimikatz (7)), l’attaquant est parvenu à se connecter à des comptes utilisateurs non sécurisés. Le pirate a alors pu pénétrer dans la base de données de Starwood stockant les données de réservations des clients. Il en a exfiltré les éléments, tels que noms, date de naissance, adresses mél, mais surtout numéros de passeport et numéros de carte bancaire. Près de 339 millions de fichiers clients ont ainsi été compromis.

Pour l’ICO, force est de constater que dans les deux cas, des mesures de sécurité adéquates sont disponibles sur le marché ; une authentification multifacteur (8) des comptes compromis auraient permis de détecter, voire de neutraliser, les attaques sans coût excessif (9).

L’identification des violations commises

Dans les deux cas, au terme d’une enquête, l’ICO a conclu à la violation des obligations de sécurité au titre de deux articles du RGPD, à savoir les articles 5.1.f (confidentialité et intégrité) et 32 (sécurité du traitement), qui imposent aux responsables du traitement de « mett[re] en œuvre les mesures techniques et organisationnelles appropriées » pour protéger les données à caractère personnel qu’ils traitent « y compris (…) contre le traitement non autorisé ou illicite » (10).

A cet égard, balayant les arguments soulevés par les deux sociétés, selon lesquelles l’article 5 ne serait qu’une synthèse de l’article 32, l’ICO a confirmé au contraire qu’en dépit de leur chevauchement, ces deux articles étaient bien distincts.

L’enjeu était important car ces articles appellent chacun des amendes de montant différent (11). Or, conformément à l’article 83.3 du RGPD et aux lignes directrices du CEPD, en cas de violation de plusieurs articles du règlement, l’autorité peut appliquer une amende correspondant à la violation la plus grave (sous réserve que le montant total de l’amende administrative n’excède pas le montant fixé pour la violation la plus grave) (12). Les entreprises risquaient donc d’écoper de la plus lourde sanction prévue par le RGPD, soit 4% de leur chiffre d’affaires. En 2017, le CA s’élevait à 12,226 milliards de livres sterling pour British Airways et 4,997 milliards de dollars pour Marriott.

Les éléments pris en compte dans le calcul de ces amendes record 

L’ICO a appliqué les critères visés à l’article 83.2, du RGPD pour apprécier le montant à infliger. Elle a estimé l’amende justifiée (13) au vu notamment :

• de la nature des données compromises : même si elles ne relèvent pas de catégories sensibles », elles exposaient les victimes à une usurpation d’identité ;
• de la durée significative des violations ;
• du nombre de personnes concernées.

En outre, pour l’ICO, même si British Airways et Marriott n’ont pas délibérément commis les violations ; elles ont toutes deux fait preuve de négligence (14). Leurs systèmes informatiques souffraient de vulnérabilités importantes.

L’ICO souligne que des sociétés de cette taille et importance auraient dû savoir qu’elles étaient potentiellement des cibles. Elles auraient du prendre les mesures appropriées pour protéger les quantités considérables de données traitées (15). Les deux sociétés, en leur qualité de responsables du traitement, ont été reconnues « pleinement responsables » (10) ; le recours à un prestataire chargé de la cybersécurité ne réduisant pas le degré de responsabilité (16).

A cette étape, les montants de départ de l’amende fixés par l’ICO sont respectivement de 30 millions de livres sterling pour British Airways, et de 28 millions de livres sterling pour Marriott (17).

Eléments ayant permis de réduire le montant de l’amende

Le gendarme britannique des données personnelles pointe du doigt les « multiples » manquements « graves » des deux sociétés dans la gestion de leur cybersécurité. Les amendes sont toutefois moins sévères que prévu  ; non seulement en raison des circonstances atténuantes retenues, mais aussi de l’impact économique de la crise sanitaire actuelle.

Circonstances atténuantes

L’IOC a en effet reconnu plusieurs circonstances atténuantes (18) à la décharge des deux sociétés piratées telles que :

• les mesures immédiates prises pour atténuer le dommage subi par les personnes concernées (désactivation des comptes compromis, réinitialisation des mots de passe, etc.) ;
• l’information rapide des personnes concernées et des autorités, ainsi que la divulgation dans les médias de l’incident. Les autres entreprises ont ainsi été sensibilisées aux risques et ont pu prendre des mesures de cybersécurité appropriées ;
• la coopération totale avec les autorités lors de la procédure ;
• les investissements importants engagés en termes de sécurité informatique, et le maintien de cet effort budgétaire en dépit des contraintes financières créées par l’épidémie de coronavirus ;
• la création d’un site web et d’un centre d’appel multilingues dédiés pour informer les personnes touchées par l’incident et recueillir leurs demandes ;
• le remboursement des pertes financières directes subies par les personnes concernées ;
• l’effet négatif des cyberattaques sur la réputation des sociétés, cette atteinte à leur image de marque ayant un effet dissuasif sur d’autres sociétés ;
• l’absence d’avantages financiers obtenus ou de pertes évitées du fait de la violation.

En l’espèce, ces circonstances atténuantes leur ont permis de bénéficier d’une réduction de 20% du montant de l’amende envisagée.

L’effet Covid

Avant de prononcer une amende, l’ICO tient compte de son impact sur le contrevenant et sur l’économie en général. Conformément aux lignes directrices de l’ICO sur le coronavirus, la Covid-19 justifie une réduction du montant de l’amende.

En l’espèce, chacune des deux sociétés a bénéficié d’une réduction de 4 millions de livres sterling.

Des amendes moins élevées que prévu

Au final, ces amendes record sont moins sévères qu’initialement prévu, bien loin des 183 et des 99 millions de livres sterling annoncés. Elles sont également très éloignées du montant maximum théorique encouru ; celui-ci est de 20 000 000 EUR ou 4% du chiffre d’affaires.

Les deux sociétés auraient indiqué ne pas vouloir faire appel des décisions de l’ICO, sans toutefois reconnaitre de responsabilité.

Commentant la décision de son homologue britannique, la Cnil a estimé que ces amendes record étaient « proportionné[e]s au regard de la gravité des manquements constatés ».

Par ailleurs, si ces amendes record infligées par l’ICO sont les plus importantes imposées en matière de sécurité, l’amende la plus élevée sous l’empire du RGPD reste à ce jour celle prononcée par la Cnil contre Google (50 millions d’euros) en janvier 2019. Les sanctions prises contre H&M par l’autorité allemande (35 millions d’euros) et contre l’opérateur de télécoms TIM par l’autorité italienne (27 millions d’‘euros) occupent les 2^e et 3^e marches du podium.

Enfin, il convient de noter que la procédure de sanction actuelle de l’ICO (19), sur la base de laquelle ont été prises ces deux décisions, est en cours de modification. Selon le document soumis à consultation publique, la future procédure comprendra 9 étapes (5 actuellement) et précisera, dans un tableau détaillé, le montant des amendes sous forme de pourcentage du chiffre d’affaires (20).

Caractère transfrontalier nécessitant une coopération des Cnils européennes 

Dans ces deux affaires, les violations de données présentent une dimension transfrontalière. Les victimes se trouvaient non seulement au Royaume-Uni, mais également dans plusieurs pays européens.

Afin d’harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers (21) le RGPD a mis en place :

• un mécanisme de « guichet unique» (art. 56) qui a vocation à éviter ainsi des démarches lourdes et chronophages aux entreprises concernées (22) ;
• un mécanisme de coopération (art. 60) entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées.

En application de ces mécanismes :

• les responsables de ces traitements désignent un interlocuteur unique : il s’agit de l’autorité chef de file 1. Cette autorité est l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise. En l’occurrence, l’ICO pour le Royaume-Uni (23).
• la validité d’une seule décision dans toute l’UE : la décision de l’autorité chef de file étant prise en concertation avec l’ensemble des autorités de contrôle concernées. L’ICO a donc enquêté au nom de toutes les autorités de l’UE (la violation s’est produite avant que le Royaume-Uni ne quitte l’UE) et ses projets d’amendes record ont été approuvés par les autres autorités de l’UE. Ils ont notamment été minutieusement examinés par la formation restreinte de la Cnil.

Ces décisions montrent que le guichet unique permet d’aboutir à des décisions majeures à l’égard de traitements mis en œuvre à l’échelle européenne.

Cybersécurité et RGPD : conseils et bonnes pratiques

L’ICO le martèle tout au long de ses décisions. Un responsable du traitement doit appliquer, en permanence, des mesures appropriées pour assurer la sécurité des données traitées. A défaut, il s’expose à de très lourdes sanctions ; non seulement au titre du RGPD, mais aussi dans le cadre d’actions civiles (24) engagées par les victimes (25).

Le fait que la Cnil ait approuvé les décisions de l’ICO (manquements et amendes record) invite les responsables du traitement français à en tirer des enseignements et notamment à :

• assurer une bonne gestion de leur patrimoine informationnel en mettant en place des mesures de sécurité adaptées et en veillant à documenter ces mesures ;
• savoir comment réagir en cas de cyberattaques afin de pouvoir bénéficier de circonstances atténuantes qui serviront à réduire, parfois substantiellement, le montant de l’amende qui pourra le cas échéant être imposée ;

se prémunir contre le risque cyber en adaptant leur police d’assurance pour couvrir ces nouveaux risques informatiques.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

Notes :

(1) ICO Penalty Notice, British Airways plc, case ref: COM0783542, 16 octobre 2020.
(2) ICO Penalty Notice, Marriott International Inc, case ref: COM0804337, 30 octobre 2020.
(3) Plus de 80 % des organisations ont subi une violation de données en raison de vulnérabilités de sécurité dans leurs chaînes d’approvisionnement. « Cybersécurité : votre chaine d’approvisionnement est désormais votre maillon faible», zdnet.fr, 29-9-2020.
(4) Le « web skimming » (« Magecart ») est un type d’attaque visant à accéder au système de paiement d’un site marchand et à y implanter un malware. Le pirate dérobe les données des cartes, dont le code CVV, au moment où elles sont données en clair et avant qu’elles ne soient chiffrées par le vendeur. Ni l’utilisateur, ni le vendeur ne sauront rien du vol jusqu’à la découverte du malware. Le piratage a commencé chez Starwood en 2014, soit avant son acquisition par Marriott en 2016.
(5) Pour Elizabeth Denham, commissaire à l’information, lors de l’acquisition d’une entreprise il convient de mettre en place des mesures appropriées pour évaluer « non seulement les données personnelles acquises, mais aussi la manière dont elles sont protégées ».
(6) Un « web shell » est un morceau de code malveillant qui permet à des pirates d’accéder à distance aux serveurs.
(7) Mimikatz est un voleur d’identifiants.
(8) La combinaison d’au moins deux facteurs d’authentification assure une authentification forte. Guide Cnil « La sécurité des données personnelles», édition 2018, p. 9.
(9) Décision British Airways points 6.29, 6.72 et 6.96 et décision Marriott point 7.9.
(10) Décision British Airways point 1.6 et 6.1 et décision Marriott point 1.6 et 6.1.
(11) Pour les violations de l’article 5.1.f : 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83.4.a), et pour l’article 32 : 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (article 83.5.a).
(12) Décision Marriott, point 7.83, Décision British Airways point 7.81.
(13) Décision British Airways section 7, p.60 et suiv., décision Marriott, section 7, p. 50 et suiv.
(14) Décision British Airways point 7.19, Décision Marriott point 7.16.
(15) Décision British Airways point 7.20, Décision Marriott point 7.17.
(16) Décision Marriott, point 7.28.
(17) Les décisions de l’ICO ne contiennent pas d’explications sur le calcul des montants initiaux des amendes proposées (183 et 99 millions de livres sterling annoncées).
(18) Décision British Airways point 7.41, Décision Marriott point 7.41.
(19) Définie dans sa « Regulatory Action Policy » ou « RAP » p.27 et expliqué par ex. dans décision Marriott point 2.38.
(20) Un des grands arguments des deux sociétés étaient que : dans ses projets de décision, l’ICO s’était appuyée sur un document interne (Draft internal procedure for setting and issuing monetary penalty) qui contenait un tableau avec des fourchettes de chiffres d’affaire. Devant ses contestations, l’ICO a indiqué dans ses décisions finales n’avoir pas pris en compte ce document interne. Cette « Draft internal procedure » semble proche de sa future procédure de sanction soumise à consultation publique.
(21) Selon l’article 4.23) du RGPD, un traitement de données est transfrontalier lorsqu’il est mis en œuvre par une entreprise établie dans plusieurs États européens, ou par une entreprise établie dans un seul État, mais qui affectent sensiblement des personnes d’au moins un autre État membre.
(22) Le mécanisme du guichet unique n’est pas ouvert aux entreprises établies en-dehors de l’Union européenne ; même si leurs traitements de données concernent des personnes résidant dans plusieurs États membres.
(23) Le siège de la compagnie aérienne British Airways, filiale par la holding de droit espagnol International Consolidated Airlines (IAG), est au Royaume-Uni (point 1.3 de la décision). L’établissement principal du groupe américain de l’hôtellerie (Marriott Hotels Limited) est établi au Royaume-Uni (point 1.3 de la décision).
(24) Des actions de groupe sont en cours contre Marriott et British Airways. « European Consumer Groups Begin Suing Over Data Breaches», The Wall Street Journal, 6-11-2020.
(25) Les deux sociétés n’ont pas reconnu leur responsabilité devant l’ICO (points 1.6 décision British Airways et Marriott). Elles auraient annoncé leur intention de ne pas faire appel de la décision de l’ICO.