British Airways aurait dû faire attention aux droits et libertés des personnes physiques, puis mettre en oeuvre les mesures techniques, mais aussi organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques - Crédit photo : depositphotos @sdecoret
TourMaG.com - Pouvez-vous expliquer à nos lecteurs les raisons de la sanction de 204 millions d'euros d'amende à British Airways?
Sylvain Staub : Une décision a été rendue par l'équivalent de la CNIL au Royaume-Uni à l'encontre de BA pour manquement à ses obligations de sécurité, assortie d'une proposition de sanction équivalente à 1,5% du chiffre d'affaires de la compagnie en 2017.
Concernant le transport, l'amende intervient sur la sécurité des données, section 2, et des traitements, correspondant à l'article 32.
La compagnie aurait dû faire attention aux droits et libertés des personnes physiques, puis mettre en oeuvre les mesures techniques, mais aussi organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.
D'après ce que je comprends, compte tenu du fait que British Airways collecte des centaines de milliers de données personnelles sur les passagers et leurs informations de paiement, elle aurait dû faire le nécessaire pour sécuriser l'ensemble.
Visiblement, elle ne l'a pas fait.
TourMaG.com - Ce n'est pas une nouveauté...
Sylvain Staub : Cette amende est dans la lignée de ce qui se passe actuellement au niveau de l'application du RGPD.
Vous n'êtes pas sans savoir que Google a été condamné à 50 millions d'euros par la CNIL, que son équivalent portugais a aussi sanctionné un hôpital pour un problème de sécurité des données, puis dernièrement SERGIC (spécialiste de la promotion immobilière ndlr) a reçu une amende de 400 000 euros, pour n'avoir pas mis en place une procédure d’authentification des utilisateurs qui accèdent au site web et aussi car elle conservait sans limitation les données.
Ainsi, le RGPD entre en application dans les différents pays, les sanctions sont relativement lourdes avec toujours entre 1 et 2% du chiffre d'affaires. Il s'agit d'un préjudice financier, mais aussi en termes d'image.
Sylvain Staub : Une décision a été rendue par l'équivalent de la CNIL au Royaume-Uni à l'encontre de BA pour manquement à ses obligations de sécurité, assortie d'une proposition de sanction équivalente à 1,5% du chiffre d'affaires de la compagnie en 2017.
Concernant le transport, l'amende intervient sur la sécurité des données, section 2, et des traitements, correspondant à l'article 32.
La compagnie aurait dû faire attention aux droits et libertés des personnes physiques, puis mettre en oeuvre les mesures techniques, mais aussi organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques.
D'après ce que je comprends, compte tenu du fait que British Airways collecte des centaines de milliers de données personnelles sur les passagers et leurs informations de paiement, elle aurait dû faire le nécessaire pour sécuriser l'ensemble.
Visiblement, elle ne l'a pas fait.
TourMaG.com - Ce n'est pas une nouveauté...
Sylvain Staub : Cette amende est dans la lignée de ce qui se passe actuellement au niveau de l'application du RGPD.
Vous n'êtes pas sans savoir que Google a été condamné à 50 millions d'euros par la CNIL, que son équivalent portugais a aussi sanctionné un hôpital pour un problème de sécurité des données, puis dernièrement SERGIC (spécialiste de la promotion immobilière ndlr) a reçu une amende de 400 000 euros, pour n'avoir pas mis en place une procédure d’authentification des utilisateurs qui accèdent au site web et aussi car elle conservait sans limitation les données.
Ainsi, le RGPD entre en application dans les différents pays, les sanctions sont relativement lourdes avec toujours entre 1 et 2% du chiffre d'affaires. Il s'agit d'un préjudice financier, mais aussi en termes d'image.
"Le nombre de sanctions va devenir exponentiel..."
Autres articles
-
Données personnelles : comment nous avons peu à peu accepté d’en perdre le contrôle
-
Europe : vers un espace commun de la data sur le tourisme ?
-
Londres Heathrow : quelles sont les conséquences de la limitation des sièges ?
-
British Airways : Quimper - Londres City reprend du service
-
Le stockage des données à distance, gage de sécurité ou pari risqué ?
TourMaG.com - Pourrait-on assister à une vague de contrôles au sein des compagnies aériennes ?
Sylvain Staub : Je ne sais pas s'il va y avoir une vague d'enquêtes, en tout cas ce n'est pas impossible. Le contrôle de British Airways a été déclenché par une annonce faite courant 2018, sur une attaque occasionnant la disparition de données personnelles de passagers.
La divulgation des violations est une obligation du RGDP. La compagnie l'a simplement respectée et n'a pas fait preuve d'une transparence exacerbée.
La fraude a mis en exergue une faille de sécurité.
TourMaG.com - Quel premier bilan tirez-vous du RGPD ?
Sylvain Staub : Il y a eu une trentaine de décisions post-règlement et cela à travers l'Europe. Le RGPD n'est pas la naissance du droit de la donnée personnelle, c'est juste un autre référentiel plus contraignant et plus large, mais la base existait déjà.
Le nombre de sanctions va devenir exponentiel dans les années à venir. Il n'est plus possible pour personne et nulle part dans le monde de dire que le RGPD est un feu de paille ou qu'il ne survivra pas aux prochaines années.
Toutes les entreprises utilisant des données de citoyens européens sont concernées.
Ce droit est le point de départ d'une nouvelle gouvernance dans les entreprises, après les ressources humaines ou financières, il y a celles de la data.
Sylvain Staub : Je ne sais pas s'il va y avoir une vague d'enquêtes, en tout cas ce n'est pas impossible. Le contrôle de British Airways a été déclenché par une annonce faite courant 2018, sur une attaque occasionnant la disparition de données personnelles de passagers.
La divulgation des violations est une obligation du RGDP. La compagnie l'a simplement respectée et n'a pas fait preuve d'une transparence exacerbée.
La fraude a mis en exergue une faille de sécurité.
TourMaG.com - Quel premier bilan tirez-vous du RGPD ?
Sylvain Staub : Il y a eu une trentaine de décisions post-règlement et cela à travers l'Europe. Le RGPD n'est pas la naissance du droit de la donnée personnelle, c'est juste un autre référentiel plus contraignant et plus large, mais la base existait déjà.
Le nombre de sanctions va devenir exponentiel dans les années à venir. Il n'est plus possible pour personne et nulle part dans le monde de dire que le RGPD est un feu de paille ou qu'il ne survivra pas aux prochaines années.
Toutes les entreprises utilisant des données de citoyens européens sont concernées.
Ce droit est le point de départ d'une nouvelle gouvernance dans les entreprises, après les ressources humaines ou financières, il y a celles de la data.
"On inverse le CRM pour en faire un VRM"
TourMaG.com - Ne serait-ce pas un simple sparadrap sur la problématique des données ?
Sylvain Staub : Il est certain que le RGPD a apporté un plus grand confort aux internautes. Aujourd'hui, les entreprises sont contraintes à plus de transparence, de vigilance dans la sécurité des données, tout ça se fait au bénéfice du citoyen.
Peut-être que nous ne voyons pas encore complètement le bénéfice pour le citoyen, mais c'est une évidence que nous sommes sur la voie d'une meilleure protection des données et d'une transparence à l'égard des habitants en Europe.
Le simple fait qu'il soit possible de naviguer sur Internet via des sites web qui ne tracent pas systématiquement le parcours client, c'est un progrès. Toutes les entreprises ne respectent pas le RGPD, mais le mouvement va déjà dans le bon sens.
TourMaG.com - La prochaine étape sera-t-elle clairement la propriété des données par le citoyen ?
Sylvain Staub : Ce serait très bien, les mentalités sont prêtes. Il y a une inversion sur la propriété des données, tout comme on inverse le CRM pour en faire un VRM (Vendor relationship management, c'est-à-dire que l'internaute choisira quelles données transmettre aux marques, ndlr) .
Le consommateur était l'attention des sites, sauf que maintenant cela s'oppose à cette stratégie, le client reprend le contrôle de sa donnée et de la relation avec les entreprises.
La prise de conscience de la valeur des data est réelle, la vie privée n'est pas un concept vide, mais une réalité.
Nous sommes tous concernés par ces problématiques de la gestion des données, nous aurions pu tous être concernés par la faille de sécurité de British Airways.
Sylvain Staub : Il est certain que le RGPD a apporté un plus grand confort aux internautes. Aujourd'hui, les entreprises sont contraintes à plus de transparence, de vigilance dans la sécurité des données, tout ça se fait au bénéfice du citoyen.
Peut-être que nous ne voyons pas encore complètement le bénéfice pour le citoyen, mais c'est une évidence que nous sommes sur la voie d'une meilleure protection des données et d'une transparence à l'égard des habitants en Europe.
Le simple fait qu'il soit possible de naviguer sur Internet via des sites web qui ne tracent pas systématiquement le parcours client, c'est un progrès. Toutes les entreprises ne respectent pas le RGPD, mais le mouvement va déjà dans le bon sens.
TourMaG.com - La prochaine étape sera-t-elle clairement la propriété des données par le citoyen ?
Sylvain Staub : Ce serait très bien, les mentalités sont prêtes. Il y a une inversion sur la propriété des données, tout comme on inverse le CRM pour en faire un VRM (Vendor relationship management, c'est-à-dire que l'internaute choisira quelles données transmettre aux marques, ndlr) .
Le consommateur était l'attention des sites, sauf que maintenant cela s'oppose à cette stratégie, le client reprend le contrôle de sa donnée et de la relation avec les entreprises.
La prise de conscience de la valeur des data est réelle, la vie privée n'est pas un concept vide, mais une réalité.
Nous sommes tous concernés par ces problématiques de la gestion des données, nous aurions pu tous être concernés par la faille de sécurité de British Airways.
"La CNIL mène des contrôles sectoriels..."
Pour Sylvain Staub, "lorsque la CNIL s'attaque à un domaine, elle va contrôler les concurrents" - Crédit photo : Staub&associés
TourMaG.com - Les marques vont-elles devoir revoir leur façon de rentrer en relation avec les consommateurs ?
Sylvain Staub : C'est certain, il y a un nouveau modèle économique à réinventer et il faut revoir la façon de faire du marketing. Les entreprises qui vont s'opposer au principe du RPGD seront perdantes.
TourMaG.com - Les sociétés qui viennent vous voir sont-elles réticentes ?
Sylvain Staub : Leur venue est biaisée car elles ont conscience qu'il faut faire quelque chose ou alors qu'elles sont sous le joug d'un contrôle de la CNIL. Certaines continuent de penser que la réglementation n'est pas celle-là ou qu'elles ne sont pas concernées.
Bien sûr, certaines entreprises ne se rendent pas compte de l'impact de leurs pratiques, mais je pense que cela sera de moins en moins le cas. Les sanctions vont tomber dans tous les secteurs.
Il faut bien se rendre compte que la CNIL mène des contrôles sectoriels, donc lorsqu'elle s'attaque à un domaine, elle va contrôler les concurrents. L'objectif étant pour l'autorité de comprendre le marché.
Le shérif a les moyens de faire respecter la réglementation, le Far West de la donnée est terminé.
Sylvain Staub : C'est certain, il y a un nouveau modèle économique à réinventer et il faut revoir la façon de faire du marketing. Les entreprises qui vont s'opposer au principe du RPGD seront perdantes.
TourMaG.com - Les sociétés qui viennent vous voir sont-elles réticentes ?
Sylvain Staub : Leur venue est biaisée car elles ont conscience qu'il faut faire quelque chose ou alors qu'elles sont sous le joug d'un contrôle de la CNIL. Certaines continuent de penser que la réglementation n'est pas celle-là ou qu'elles ne sont pas concernées.
Bien sûr, certaines entreprises ne se rendent pas compte de l'impact de leurs pratiques, mais je pense que cela sera de moins en moins le cas. Les sanctions vont tomber dans tous les secteurs.
Il faut bien se rendre compte que la CNIL mène des contrôles sectoriels, donc lorsqu'elle s'attaque à un domaine, elle va contrôler les concurrents. L'objectif étant pour l'autorité de comprendre le marché.
Le shérif a les moyens de faire respecter la réglementation, le Far West de la donnée est terminé.
Le tourisme "est un domaine sur la sellette, au même titre que l'immobilier"
TourMaG.com - Nous sommes bel et bien passés dans l'ère du RGPD...
Sylvain Staub : Il ne faut pas l'oublier car la CNIL va mettre fin à la période de tolérance, et faire de plus en plus de contrôles.
Le secteur du tourisme est particulièrement visé par la problématique de la donnée, même dans la relation entre les tour-opérateurs et les agences de voyages.
C'est un domaine sur la sellette, au même titre que l'immobilier, qui fera l'objet de contrôles, dans les années à venir.
Sylvain Staub : Il ne faut pas l'oublier car la CNIL va mettre fin à la période de tolérance, et faire de plus en plus de contrôles.
Le secteur du tourisme est particulièrement visé par la problématique de la donnée, même dans la relation entre les tour-opérateurs et les agences de voyages.
C'est un domaine sur la sellette, au même titre que l'immobilier, qui fera l'objet de contrôles, dans les années à venir.
Publié par Romain Pommier
