En effet, le 16 octobre 2017, un particulier avait trouvé une clé USB dans les rues de Londres. Cette personne s’est alors rapidement aperçue que cette clé contenait 76 dossiers et plus de 1.000 fichiers dont certains relatifs à la sécurité de l’aéroport d’Heathrow avec notamment les parcours de protection d’une escorte de la reine Elisabeth II, les plages horaires des patrouilles déployées sur le site ou encore la localisation des caméras de surveillance. Autant d’informations donc à la fois critique en terme de protection des personnes ou de l’aéroport lui-même, que par rapport à la protection des données personnelles des patrouilles ou collaborateurs de l’aéroport. Cette clé n’étant, de plus, pas chiffrée, cet incident s’avère être alors une faille de sécurité assez importante, et faisant peser assez de risques sur la sécurité des individus pour que les médias relayent fortement l’information
Un an plus tard, le 10 octobre 2018, l’autorité de contrôle britannique s’est chargée de juger l’affaire et a rendu son verdict. L’aéroport s’est alors vu condamné à payer une amende de 120.000 £, ce qui reste en dessous du seuil maximum de 500.000 £ d’amende que l’ICO aurait pu infliger dans cette affaire (rappelons que, l’affaire ayant eu lieu avant le RGPD, les sanctions maximales prévues par le RGPD n’étaient pas applicables à l’affaire). Pour rappel, le RGPD permet depuis le 25 mai 2018 de mettre en place une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial annuel (en cas de récidive).
Le porte-parole de l’aéroport a d’ailleurs affirmé à ce sujet :
“À la suite de cet incident, la société a rapidement agi et a renforcé ses traitements de données ainsi que ses politiques. Nous acceptons l’amende que l’ICO a jugée appropriée et avons communiqué avec toutes les personnes concernées.
Nous reconnaissons que cela n’aurait jamais dû arriver et nous souhaitons rassurer tout le monde sur le fait que des changements nécessaires ont été mis en oeuvre, notamment le lancement d’un vaste programme de formation à la sécurité de l’information qui est en train de se mettre en place au sein de l’entreprise.
Nous prenons très au sérieux le respect de toutes les lois et nous appliquons de façon stricte les exigences réglementaires et légales qui nous sont imposées.”
Utilisé dans quasiment tous les secteurs d’activité ainsi que dans la vie courante, les appareils de stockage mobile des données, comme les clés USB, sont aujourd’hui un point d’attention encore trop peu considéré par les entreprises, à cause à la fois de leur utilité pratique importante et de la difficulté de pouvoir les tracer.
La sécurité de ces moyens de stockage de l’information sont pourtant à considérer au regard du RGPD à la fois du point de vue des mesures de sécurité techniques (informatiques) qu’organisationnelles. En effet, une meilleure organisation pourrait déjà diminuer les risques de perte de ces informations, et des mesures de sécurité pourraient empêcher, en cas de perte ou de vol des appareils, que les informations ne soient accessibles à tout-va.
Source : Site officiel de l’ICO