L’Information Commissioner’s Office (ICO) annonce son intention de sanctionner deux multinationales

Par deux déclarations publiées les 8 et 9 juillet 2019, l’autorité de contrôle pour la protection des données britannique a annoncé son intention de condamner une compagnie aérienne et une chaîne hôtelière pour manquements aux obligations de sécurité issues du RGPD. Ces amendes font suite à des incidents de sécurité ayant conduit à la fuite de centaines de millions de données personnelles concernant les clients des sociétés concernées. Le montant des amendes s’élève à plus de 183 millions et 99 millions de livres.

 Pour lire les déclarations sur le site de l’ICO (en anglais)

Avertissement public de la CNIL pour fuite de données

Dans une délibération du 20 juillet 2017, la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre d’une société éditant une plateforme de location de véhicules entre particuliers, pour avoir manqué à son obligation de sécurité et de confidentialité des données. Après avoir été informée en juillet 2016 d’une violation de données à partir du site de cette société, la CNIL a réalisé une première mission de contrôle en ligne qui lui a permis de constater que les données de l’ensemble des utilisateurs étaient accessibles “en modifiant la variable [département, identifiant] dans l’URL saisie dans le navigateur”. Lors du second contrôle effectué au sein des locaux de la société, la CNIL a relevé que les API (Application Programming Interface), à l’origine de cet incident, avaient été mises en production entre juillet 2012 et novembre 2013, de telle sorte que les données sont “restées librement accessibles pendant près de trois ans”. Eu égard au “volume important de personnes concernées (…), à l’étendue des données à caractère personnel rendues accessibles et à la durée de la violation”, la CNIL a décidé de rendre cet avertissement public.

Pour lire la délibération de la CNIL