Pour ne pas avoir pris le soin de bien sécuriser les données à caractère personnel de leurs clients, cette entreprise risque de payer une amende d’environ 72.811.560.000 de FCFA.
Des faits, il ressort que ICO, l’autorité de protection des données personnelles Britannique, similaire à l’ARTCI pour la Côte d’Ivoire, vient d’infliger une amende de 72.811.560.000 de nos Francs (FCFA) à un groupe d’hôtellerie appelé Marriott International.
En effet, en 2018 ce groupe d’hôtellerie a été victime d’un piratage informatique et un vol de données d’environs 500.000 de ses clients ayant fait des réservations dans les différentes marques de la chaîne. Ces données comprennent entre autres les noms et prénoms, adresse mail, numéro de téléphone, adresse postale, le numéro de passeport, les données bancaires de leurs clients.
La question qui mérite être posée à ce moment précis est : En quoi est ce que le groupe Marriot est-il fautif, étant donné le fait que lui-même est une victime ?
Pour répondre à cette question, The Information Commissioner’s Office(ICO) a déclaré que Marriott n’avait pas fait preuve de la diligence requise lors de l’acquisition de Starwood en ne vérifiant pas la fiabilité du système d’information de ce dernier et aurait dû mettre tout en œuvre pour assurer la sécurité de ses systèmes informatiques. Pour information, Starwood est également une chaîne d’hôtel rachetée par Marriott en 2015 et selon les investigations, le problème aurait débuté en 2015, lorsque les systèmes du groupe Starwood ont été compromis par des hackers, c’est donc cet incident qui aurait ouvert la brèche exploitée par ces délinquants en 2018.
ICO, pour justifier sa décision, se base sur l’Article 32 du Règlement Général à la Protection des Données (RGPD) selon lequel le responsable de traitement doit, en fonction des données dont il à la gestion, mettre « en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Pour Elizabeth Denham, Commissaire Britannique à l’information, le RGPD a bien été clair en ce sens en indiquant que les organisations sont responsables des données personnelles qu’elles détiennent. Le non-respect de cette prescription entraîne donc des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires annuel global d’une entreprise.
Voir aussi: Voici les applications qui collectent vos données à caractère personnel
En Côte d’ivoire, c’est l’Article 40 de la loi du 19 Juin 2013 relative à la protection des données à caractère personnel qui impose cette obligation de sécurité ; il ressort de cette disposition que : « Le responsable du traitement est tenu de prendre toute précaution au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Dès lors, toute personne physique ou morale ayant la gestion de données à caractère personnel ne respectant pas cette disposition peut également se voir infliger des sanctions de la part de l’ARTCI allant jusqu’à 10.000.000 de Francs CFA et même jusqu’à 5 % du chiffre d’affaires hors taxes du dernier exercice clos pour les entreprises.
A titre de rappel, à l’instar des pays Européens, la Côte d’Ivoire dispose depuis Juin 2013 d’une loi sur la Protection des données à caractère personnel. Il est donc capital, pour toute personne qui traite et assure la gestion des données à caractère personnel sur le territoire ivoirien de se mettre en conformité vis-à-vis de cette législation pour éviter de tomber sous le coup de la loi.
Pour toute information supplémentaire, écrivez-nous via notre adresse mail juristicci@gmail.com et sur toutes nos plateformes. Surtout restez connectés pour plus d’articles.
Ange Uriel Kouassi – JurisTIC CI