Les premières décisions de sanction impliquant des faits post-RGPD sont en train de tomber dans plusieurs pays européens et le constat est unanime : le non-respect des exigences de sécurité est invoqué quasiment à chaque reprise :

  • Roumanie : l’ANSPDCP prononce une sanction de 130 000 euros contre la banque UNICREDIT BANK S.A le 27 juin 2019. La banque n’avait pas su mettre en place les mesures de sécurité nécessaires pour empêcher la transmission du numéro d’identification personnel et/ou de l’adresse du payeur au destinataire du paiement ;
  • Royaume-Uni : l’ICO envisage de prononcer une sanction de plus de 200 millions d’euros à l’encontre de British Airway (soit près de 1,5% du chiffre d’affaires de la compagnie aérienne) en son nom et en celui de ses homologues européennes, pour qui elle est chef de file dans cette affaire suite à la violation de données notifiée en septembre 2018 et abondamment médiatisée ;
  • France : UNIONTRAD COMPANY a été sanctionnée, le 13 juin 2019, par une amende de 25 000 euros (alors que la société est déficitaire depuis plusieurs années) pour des manquements répétés aux règles de la CNIL concernant la vidéosurveillance, mais également pour n’avoir que tardivement mis en œuvre des mesures de sécurité pour l’accès aux postes informatiques de ses collaborateurs et la traçabilité des accès à sa messagerie professionnelle ;
  • France : SERGIC, le 28 mai 2019, a vu prononcée à son encontre une sanction de 400 000 euros pour un défaut de sécurité de son site internet.

Qui sera le prochain ?

Rappelons que si la sanction prévue par la RGPD pour les manquements à la sécurité est inférieure de moitié à la sanction prévue pour les manquements aux principes (10 millions ou 2% du CA contre 20 millions ou 4% du CA), ce type de manquements fonde une part très importante des sanctions.

Rien de très nouveau ni d’anormal lorsque l’on y réfléchit : bâtir une conformité RGPD, donc une mise à plat des processus pour assurer le respect des droits ne peut se faire que si, préalablement, la sécurité des processus a elle-même été assurée.

SSI et conformité RGPD : même combat 

Crédits photo : Olivier Le Moal