British Airways a réagi rapidement, lorsqu'elle fut confrontée en septembre 2018 à une cyber-attaque, au cours de laquelle les données personnelles de 800.000 passagers furent dérobées. Le lendemain de la découverte, la compagnie aérienne en informa ses clients, les médias et les autorités. Le CEO de British Airways promit même d'indemniser les passagers. 'Appliquons le règlement', a-t-on dû penser chez British Airways. C'était sans compter avec l'autorité de protection des données britannique, l'ICO. Au terme d'une enquête de plusieurs mois, l'ICO en est arrivée à la conclusion que la protection des données chez British Airways n'était pas à la hauteur et enfreignait donc les règles européennes, en l'occurrence le redoutable et redouté GDPR.

Ces règles obligent les entreprises à sécuriser les données personnelles d'une manière adaptée notamment à l'état de la technique, au risque et à la sensibilité des données. De la part de British Airways, on pouvait donc sur ce plan s'attendre à bien mieux que du boulanger du coin. Depuis l'entrée en vigueur du GDPR, on observe que les autorités accordent beaucoup d'attention à cette protection et ne reculent pas à infliger des amendes en la matière.

A juste titre, la focalisation cible plutôt l'insuffisance de la sécurisation appliquée par des acteurs en vue que le cas unique du collaborateur individuel qui va farfouiller dans les données de tiers (même s'il n'est pas non plus à l'abri). Une piètre cyber-sécurité fait en sorte que chaque client ou employé risque d'être menacé par des cybercriminels. Quand on pense à l'énorme augmentation de la cybercriminalité, on ne peut guère éprouver de compassion pour British Airways sur ce point.

Mais quand même... Le GDPR a introduit aussi un devoir de notification de toute violation de données. Les entreprises sont tenues d'annoncer les (possibles) pertes de données aux autorités et, dans certains cas, aussi aux victimes. Quiconque apprend ainsi le vol des données de sa carte de crédit, peut alors solliciter une nouvelle carte et un nouveau code pour se protéger. Il va de soi que des amendes sont prévues en cas d'absence de notification.

En parler ou se taire après une cyber-attaque?

Dans la réalité, seul un certain nombre de ces incidents sont notifiés: en 2018, on a recensé 445 notifications en Belgique contre 20.881 aux Pays-Bas. Cela est peut-être dû au fait que l'entreprise concernée n'a pas elle-même conscience que des données ont été dérobées. Selon l'ex-CEO de Cisco, il n'y aurait que deux types d'entreprise: celles qui ont déjà été piratées et celles qui ne savent pas qu'elles l'ont été ou le sont. Il arrive cependant que la non-notification soit un choix bien conscient. Les entreprises se posent parfois la question de savoir si une notification ne provoque pas plus de dommage à leur réputation que se voir imposer une possible amende. C'est ainsi que Yahoo! a mis deux ans avant de notifier avoir découvert que la totalité des 3 milliards de comptes avait fait l'objet d'une fuite de données.

Or la méga-amende qui plane au-dessus de la tête de British Airways, pourrait être une raison supplémentaire pour les entreprises de se taire, si elles ont conscience que leur propre cyber-sécurité n'était pas ce qu'elle devait être. La question est donc de savoir si les autorités n'incitent pas à la non-notification en infligeant des amendes aussi extrêmes. Il arrive souvent qu'une piètre sécurisation n'est découverte qu'après une fuite de données et donc après une notification. Lors de la détermination d'une amende, le GDPR permet de tenir compte de la bonne collaboration et de la notification volontaire, mais dans la pratique, cela ne se traduit pas toujours par de la clémence. On observe ainsi que dans les pays qui nous entourent, et tout spécialement en Grande-Bretagne, des amendes particulièrement élevées sont infligées pour des carences en cyber-sécurité et ce, en comparaison avec d'autres infractions en matière de données. Au Royaume-Uni, Uber s'est ainsi vu infliger une amende de 385.000 livres "seulement" pour avoir passé une fuite de données sous silence en 2016, qui avait touché 2,7 millions d'utilisateurs (c'était, il est vrai, avant le GDPR). Lors d'une perte de données, suite à une cyber-attaque 'réussie', l'autorité semble ne pas toujours se soucier d'abord de mettre en place des mesures d'amélioration, mais plutôt d'infliger rapidement des amendes.

Ce qui précède n'est pas un plaidoyer en faveur de l'utilisation d'un gant de velours pour les entreprises. Trop souvent encore, elles se montrent en effet laxistes quant à assumer leurs responsabilités vis-à-vis de nos données, des données qu'elles obtiennent du reste souvent gratuitement. On pourrait dès lors s'attendre à ce que les entreprises investissent dans une solide protection. Non, ceci est plutôt un plaidoyer en faveur de notre propre intérêt, à savoir celui des citoyens, des clients, des employés et des utilisateurs qui ignorent encore et toujours comment sont stockées et utilisées leurs données. Encourager les entreprises à avertir au minimum les autorités et les citoyens, si des cybercriminels emportent des données de cartes de banque, mots de passe ou informations médicales, cela doit constituer une top-priorité.