Les deux sociétés britanniques ont déjà annoncé leur intention de faire appel de leur sanction respective, infligée pour ne pas avoir suffisamment sécurisé les données de leurs clients. Ces brèches ont permis le piratage des données de 500'000 clients de British Airways, comme les identifiants de connexion, les données de cartes de paiement et réservations, ainsi que les noms et adresses. Plus de 383'000 clients des chaînes d'hôtels Starwood, appartenant au groupe Marriott, ont subi un sort similaire.
L'amende infligée par l'autorité britannique de contrôle (ICO) à British Airways représente 1,5% de son chiffre d'affaires. C'est la plus lourde sanction jamais annoncée depuis l'entrée en vigueur en mai 2018 du fameux règlement général sur la protection des données, le RGPD. Ce texte prévoit des amendes pouvant représenter jusqu'à 4% du chiffre d'affaires total d'une entreprise reconnue coupable.
Puissance de frappe du RGPD
Pour Alexis Constantacopoulos, avocat spécialisé dans les nouvelles technologies, il s'agit d'un signal fort: "Avec le cas British Airways, on se rend bien compte que les autorités de contrôle peuvent vraiment faire usage de toutes les dispositions du RGPD et peuvent effectivement infliger des amendes relativement élevées."
Le précédent record était détenu par Google, avec une amende de 50 millions d'euros infligée par l'autorité de surveillance française pour l'obtention du consentement de ses utilisateurs jugés trop contraint.
>> Relire sur ce sujet : L'amende de 50 millions d'euros à Google serait impossible en Suisse
Une centaine d'amendes en Europe, aucune en Suisse
Depuis son entrée en vigueur, le RGPD suscite un pluie de procédures: en moins d'un an, quelque 144'000 plaintes ont été déposées aux 28 autorités européennes de contrôle. Environ 89'000 failles de sécurité ont été notifiées. Quant aux amendes, un total de 91 ont été prononcées, selon les chiffres du cabinet britannique DLA Piper datant de février dernier, soit huit mois après l'entrée en vigueur du règlement européen. Les amendes s'élèvent de quelques dizaines à plusieurs centaines de milliers de francs.
A ce jour, aucune plainte n'a été déposée contre des entreprises basées sur le territoire suisse. Mais si cela devait arriver, le casse tête est programmé pour la Confédération, prévient Alexis Constantacopoulos: "On ne sait pas dans quelle mesure les autorités suisses collaboreraient avec une autorité étrangère de protection des données. De plus, la légalité d'une amende infligée par une autorité européenne à une entreprise suisse est débattue. Enfin, il n'existe pas de procédure claire qui permettrait à l'autorité étrangère de protection des données d'encaisser une éventuelle amende."
Pascal Jeannerat / fme