L’ico sanctionne l’aéroport heathrow pour la perte d’une clé usb contenant des données sensibles

L’autorité de contrôle britannique, l’ICO (The Information Commissioner’s Office), a sanctionné l’aéroport Hearthrow dans le cadre d’une faille de sécurité très importante. | Publié le 20 décembre 2018 par Hermann K
En effet, le 16 octobre 2017, un particulier avait trouvé une clé USB dans les rues de Londres. Cette personne s’est alors rapidement aperçue que cette clé contenait 76 dossiers et plus de 1.000 fichiers dont certains relatifs à la sécurité de l’aéroport d’Heathrow avec notamment les parcours de protection d’une escorte de la reine Elisabeth II, les plages horaires des patrouilles déployées sur le site ou encore la localisation des caméras de surveillance. Autant d'informations donc à la fois critique en terme de protection des personnes ou de l'aéroport lui-même, que par rapport à la protection des données personnelles des patrouilles ou collaborateurs de l'aéroport. Cette clé n'étant, de plus, pas chiffrée, cet incident s'avère être alors une faille de sécurité assez importante, et faisant peser assez de risques sur la sécurité des individus pour que les médias relayent fortement l'information

Un an plus tard, le 10 octobre 2018, l’autorité de contrôle britannique s’est chargée de juger l’affaire et a rendu son verdict. L’aéroport s’est alors vu condamné à payer une amende de 120.000 £, ce qui reste en dessous du seuil maximum de 500.000 £ d'amende que l'ICO aurait pu infliger dans cette affaire (rappelons que, l'affaire ayant eu lieu avant le RGPD, les sanctions maximales prévues par le RGPD n'étaient pas applicables à l'affaire). Pour rappel, le RGPD permet depuis le 25 mai 2018 de mettre en place une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial annuel (en cas de récidive).

Le porte-parole de l’aéroport a d’ailleurs affirmé à ce sujet :

“À la suite de cet incident, la société a rapidement agi et a renforcé ses traitements de données ainsi que ses politiques. Nous acceptons l’amende que l’ICO a jugée appropriée et avons communiqué avec toutes les personnes concernées.

Nous reconnaissons que cela n’aurait jamais dû arriver et nous souhaitons rassurer tout le monde sur le fait que des changements nécessaires ont été mis en oeuvre, notamment le lancement d’un vaste programme de formation à la sécurité de l’information qui est en train de se mettre en place au sein de l’entreprise.

Nous prenons très au sérieux le respect de toutes les lois et nous appliquons de façon stricte les exigences réglementaires et légales qui nous sont imposées.”

Utilisé dans quasiment tous les secteurs d'activité ainsi que dans la vie courante, les appareils de stockage mobile des données, comme les clés USB, sont aujourd'hui un point d'attention encore trop peu considéré par les entreprises, à cause à la fois de leur utilité pratique importante et de la difficulté de pouvoir les tracer.

La sécurité de ces moyens de stockage de l'information sont pourtant à considérer au regard du RGPD à la fois du point de vue des mesures de sécurité techniques (informatiques) qu'organisationnelles. En effet, une meilleure organisation pourrait déjà diminuer les risques de perte de ces informations, et des mesures de sécurité pourraient empêcher, en cas de perte ou de vol des appareils, que les informations ne soient accessibles à tout-va.

Source : Site officiel de l'ICO
Un incident informatique survenu sur le site caf.fr ce dimanche 10 octobre à partir de 21 heures a conduit à ce que certains dossiers d'allocataires … | 12 octobre 2021
La plateforme de streaming spécialisée dans les jeux vidéo vient de subir une fuite de données massive dont les conséquences sont encore difficilement mesurables. | 07 octobre 2021
Le géant du web se voit condamné à une amende sans précèdent de 746 millions d'euros pour non respect du RGPD. | 04 août 2021