L’été 2019 a vu une vague d’amendes importantes imposées aux grandes entreprises pour des atteintes à la protection des données et d’autres atteintes à la vie privée. Allant d’une amende de 460 000 € en vertu du Règlement général européen sur la protection des données (RGPD) pour un hôpital néerlandais au règlement proposé par Facebook de 5 milliards de dollars américains avec la Federal Trade Commission (FTC), les régulateurs montrent leurs dents.
Bien que les procédures d’application de la réglementation au Canada ne comportent pas le même risque d’amendes massives, cette activité récente dans d’autres juridictions reflète l’élévation des questions de protection de la vie privée en tant que droit fondamental et l’examen réglementaire correspondant pour protéger ces droits dans le monde entier (y compris au Canada). Les organisations qui recueillent des renseignements personnels doivent intégrer la protection de la vie privée dans la conception de leurs activités; la vie privée en tant qu’arrière-pensée ne fera pas la coupe.
Voici quelques-unes des amendes et des règlements importants de cet été :
British Airways: 183 millions de livres sterling
À partir de juin 2018 environ, des attaquants ont détourné le trafic destiné au site Web de British Airways vers un site frauduleux. En utilisant ce site, des attaquants ont volé des informations personnelles, y compris des informations de carte de crédit, à environ 500 000 clients. Le 8 juillet 2019, le BBC a rapporté que le commissaire à l’information du Royaume-Uni avait déterminé que les mauvaises dispositions de sécurité de l’entreprise avaient conduit à la compromission de l’information, et le commissaire a imposé une pénalité de 183 millions de livres sterling à British Airways en lien avec la violation.
Il s’agit de la plus importante amende de ce type imposée au Royaume-Uni, éclipsant l’amende maintenant la plus importante, 500 000 £ contre Facebook dans le cadre du scandale des données de Cambridge Analytica. Il est important de noter, cependant, que cette amende contre Facebook était l’amende maximale à l’époque. Maintenant, en vertu du GDRP, la pénalité maximale est de 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel de la société dans le cas de British Airways, cela aurait pu signifier une amende approchant les 500 millions de livres sterling.
Equifax : 700 millions de dollars américains
En septembre 2017, une atteinte à la protection des données chez Equifax a révélé les renseignements personnels d’environ 147 millions de personnes. Le 22 juillet, le CBC et New York Times a rapporté qu’Equifax avait accepté de payer jusqu’à 700 millions de dollars américains en amendes et pénalités dans le cadre d’un règlement avec divers organismes de réglementation fédéraux et étatiques. Le règlement exige qu’Equifax paie une amende de 175 millions de dollars américains à divers États et une autre de 100 millions de dollars américains au Bureau fédéral de protection financière des consommateurs. Equifax a également accepté d’établir un fonds de 300 à 450 millions de dollars américains pour indemniser les victimes de l’atteinte, ainsi que de fournir des services gratuits aux clients touchés pendant une décennie et de soumettre régulièrement ses politiques de sécurité à l’évaluation de tiers.
Ce règlement n’aura aucun effet sur les 19 000 Canadiens touchés par l’atteinte.
Facebook : 6,6 milliards de dollars canadiens
Suite au scandale Cambridge Analytica de 2018 (dans lequel Facebook a partagé des données sur jusqu’à 87 millions de ses utilisateurs avec Cambridge Analytica), le FTC a imposé une amende de 5 milliards de dollars américains sur Facebook. Il s’agit de l’amende la plus importante que la FTC ait jamais imposée à une entreprise de technologie.
Le PDG Mark Zuckerberg devra personnellement certifier la conformité de Facebook à ses programmes de confidentialité, avec un risque qu’une fausse certification l’expose à des sanctions civiles ou pénales.
Cette amende s’ajoute à une amende de 1 million d’euros imposée à Facebook en
Conclusions canadiennes
Bien que le risque d’amendes importantes ici ne soit pas le même que dans l’Union européenne, l’examen réglementaire des atteintes à la vie privée et les conclusions contre une organisation ne sont pas seulement potentiellement coûteux, ils peuvent également être des preuves puissantes dans des procédures connexes telles que les litiges en matière d’atteinte à la protection des données et les enquêtes réglementaires étrangères.
On s’attend à une surveillance réglementaire accrue des questions de protection de la vie privée au Canada. Les organisations canadiennes devraient évaluer leurs activités afin de comprendre quelles mesures sont nécessaires pour se conformer à leurs obligations de protéger les renseignements personnels et la vie privée de leurs employés et de leurs clients. La mise en œuvre de la protection de la vie privée dans la conception des opérations d’une organisation peut aider à éviter l’exposition à des recours collectifs, à des litiges entre actionnaires, à un examen réglementaire et à des relations publiques négatives.
Des déclarations récentes du Commissariat à la protection de la vie privée du gouvernement fédéral et des bureaux provinciaux de la protection de la vie privée laissent entendre que les organismes de réglementation au Canada se concentrent sur la façon dont les sociétés protègent les renseignements et réagissent à toute atteinte à la vie privée qui pourrait survenir. Des décisions récentes, par exemple Ari v. Insurance Corporation of British Columbia, suggèrent que le fait de ne pas tirer des leçons des violations passées peut justifier l’octroi de dommages-intérêts punitifs.
Les organisations canadiennes doivent être conscientes de leurs obligations en matière de protection des données et se préparer aux atteintes à la protection des données et aux cyberattaques. Résoudre ces problèmes avant une violation peut permettre aux organisations d’économiser le coût d’être prises au dépourvu et de réduire l’exposition potentielle à une attaque ou à une violation accidentelle.
Si vous souhaitez plus d’informations ou de conseils en matière de confidentialité et de cybersécurité, l’équipe Privacy & Data Protection team de Bennett Jones est disponible pour vous aider.