L’autorité néerlandaise de protection des données (APD) a infligé une amende de 475 000 euros à Booking.com parce que la société a notifié une violation de données 22 jours après en avoir pris connaissance, au lieu des 72 heures requises.
Contrôles CNIL 2021 : cybersécurité, données de santé et cookies seront les thématiques prioritaires
Le 2 mars 2021, la CNIL a annoncé son programme de contrôle pour l’année 2021.
En plus des contrôles que la CNIL effectue suite à des plaintes ou en lien avec l’actualité, la CNIL orientera ses actions de contrôles autour de trois thématiques prioritaires en 2021 :
la cybersécurité des sites web ;
la sécurité des données de santé ; et
l’utilisation des cookies.
Notifications de violations de données personnelles : les recommandations pratiques du CEPD
Le Comité européen à la protection des données (« CEPD ») a récemment publié un nouveau projet de lignes directrices sur la notification des violations de données personnelles.
Ces nouvelles lignes directrices pratiques viennent compléter les lignes directrices précédentes et plus générales sur le même sujet qui ont été publiées par le CEPD, encore le groupe de travail « article 29 », en octobre 2017 (voir ici pour plus de détails)
Bien qu’assez complètes, les lignes directrices précédentes manquaient de détails pratiques à certains égards dans la mesure où elles avaient été rédigées lorsque les autorités et les organisations n’avaient pas beaucoup d’expérience en matière de notification des violations de données à caractère personnel. Plus de deux ans plus tard, le CEPD a ainsi décidé de fournir des lignes directrices proposant d’exemples pratiques tirés de leur expérience.
UK : Amende de £18,4 millions pour Marriot suite à une cyber-attaque
Par décision du 30 octobre 2020, l’ICO (l’autorité britannique de protection des données) a infligé une amende de 18,4 millions de livres sterling à Marriott International Inc. pour non-respect de son obligation RGPD de sécurité.
Cette décision fait suite à une cyber-attaque contre Starwood, une société acquise par Marriot en 2016, notifiée à l’ICO en 2018. L’enquête de l’ICO a permis de remonter à l’origine de la cyber-attaque en 2014. Elle concernait les informations personnelles de millions de clients, notamment les détails de leur réservation, les détails de leur carte de paiement et leur numéro de passeport.
GB : Amende de 20M£ pour British Airways suite à une cyber-attaque
L’autorité de protection des données du Royaume-Uni (ICO) a infligé une amende de 20 millions de livres sterling à British Airways (BA) pour ne pas avoir protégé les données personnelles et financières (données des cartes de paiement) de plus de
Notification des violations de données personnelles (la théorie)
En vertu du règlement général sur la protection des données (GDPR), lorsqu’une violation de données personnelles se produit, les responsables de traitement doivent notifier:
L’autorité de contrôle concernée lorsque la violation peut entraîner un risque pour les droits et la libertés des personnes concernées;
Les personnes concernées lorsque la violation des données à caractère personnel peut entraîner un risque élevé pour leurs droits et libertés.