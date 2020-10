Les grosses amendes infligées à deux entreprises par l'Autorité britannique de protection des données sont un avertissement sérieux pour maintenir les systèmes informatiques à jour et assurer la sécurité des données à caractère personnel.

Le Règlement européen général sur la protection des données à caractère personnel (RGPD) exige des entreprises qu’elles prennent des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel. La mise en œuvre concrète de cette obligation peut varier en fonction des risques et de la portée du traitement, du coût et de la faisabilité technique. La conformité aux exigences de sécurité du réseau et des informations est donc une question d’appréciation au cas par cas et le RGPD n’exige pas nécessairement qu’une petite PME fournisse le fin du fin en matière de sécurité de l’information.

Afin d’aider les entreprises, les autorités de protection des données («APD») et les agences diverses publient régulièrement des documents qui expliquent les mesures considérées comme minimales en matière de sécurité informatique: utiliser un antivirus et le mettre à jour systématiquement et en temps opportun; réaliser systématiquement un back-up afin de se protéger contre la perte; mettre à jour systématiquement et automatiquement tous les logiciels; faire fonctionner le site Internet via une connexion HTTPS sécurisée; installer un firewall (tant pour le matériel que pour le logiciel); garantir la sécurité physique des serveurs en autorisant uniquement le personnel habilité (par ex. à l’aide de badges); instaurer un système d’accès avec un identifiant unique (login) pour chaque utilisateur et un mécanisme d’authentification, utiliser la pseudonymisation et le chiffrement…

Les APD sont également amenées à se prononcer sur les manquements en matière de sécurité dans les procédures dont elles sont saisies. Leurs décisions fournissent des explications complémentaires sur les exigences de sécurité au regard du RGPD.

Ainsi en 2020, suite à des violations de données, l’ICO (l’APD du Royaume-Uni) a infligé des amendes de ½ million de livres à deux grandes entreprises. Dans ces deux décisions, l’ICO a listé les nombreux manquements commis en matière de sécurité et, parmi celles-ci, le fait que leur système informatique était hébergé sur un système d'exploitation obsolète et vulnérable, qui n'était plus supporté par le fournisseur. Cela signifie que ce système d’exploitation était privé de tout support technique pour pallier les problèmes, des mises à jour logicielles et surtout des mises à jour ou correctifs de sécurité.

Une brèche ouverte pour les attaques

Bien que l’ICO n’ait pu déterminer concrètement dans quelle mesure le système d'exploitation obsolète avait facilité les attaques, elle a considéré que cette obsolescence ouvrait une brèche conséquente pour les attaques, vu l’absence de support dudit système d’exploitation sur les serveurs en charge du traitement, ou soutenant le traitement des données personnelles.

Cela suffit à l’ICO pour établir un manquement au RGPD. Les deux entreprises avaient fait l’objet de cyber-attaques concernant les données personnelles de plusieurs millions de personnes.

On notera que Microsoft, par exemple, a publié ses dernières mises à jour de sécurité publique pour Windows 7, mettant ainsi fin à la prise en charge du système d'exploitation après plus de 10 ans. Or, à ce jour, des millions de machines continuent d’utiliser Windows 7, s’exposant à des risques accrus en matière de piratage informatique.

Les faits à l’origine des décisions s’étant déroulés avant l’entrée en vigueur du RGPD, l’ICO a fait application de la loi antérieure, laissant toutefois sous-entendre qu’en application du RGPD les décisions auraient été les mêmes, mais que les amendes auraient sans doute été nettement plus importantes.

Pour rappel, les manquements au RGPD peuvent faire l’objet d'amendes administratives pouvant s'élever jusqu'à maximum 20 millions d’euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Le 16 octobre 2020, l’ICO a d’ailleurs infligé une amende record de 20 millions de livres à une autre compagnie aérienne, British Airways, pour violation de données et manquements au principe de sécurité du RGPD.

Les décisions de l'Autorité britannique de protection des données sont un avertissement sérieux pour maintenir les systèmes informatiques à jour et assurer la sécurité, la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel.