Au cours des dernières semaines, Air Canada et British Airways annoncent toutes deux avoir été victimes de brèches informatiques. Or, British Airways prend plus de temps pour en aviser ses clients.

Le 28 août 2018, Air Canada publie un Avis à tous les utilisateurs de l’application Air Canada sur son site internet annonçant la découverte d’un « comportement inhabituel lors de tentatives d’accès » à l’application mobile d’Air Canada entre le 22 et 24 août. Bien qu’elle estime que 20 000 comptes aient été touchés, la compagnie aérienne gèle les 1,7 millions comptes de ses utilisateurs jusqu’à ce que ces derniers changent leurs mots de passe. Air Canada précise que ce sont les noms d’utilisateurs, adresses courriels et numéros de téléphones qui ont été touchés. Les numéros de cartes de crédits des clients, étant encryptées, n’auraient pas été affectés par la brèche.

Pour sa part, le 7 septembre 2018, British Airways annonce que des acteurs malicieux ont obtenus les informations de cartes de crédits de quelques 380 000 usagers, suite à une brèche informatique qui dura du 21 août au 5 septembre 2018. Qui plus est, lors de sa divulgation initiale de la brèche, British Airways se limite à affirmer que les numéros de passeports des usagers n’ont pas été exfiltrés. Ce n’est que dans un communiqué subséquent qu’elle précise que les données de cartes de crédit, incluant les numéros des cartes, les dates d’expiration et les numéros d’authenticité, ont été touchées par l’incident cybernétique.

Ces brèches soulèvent ainsi des questions importantes quant au devoir des compagnies d’aviser leurs clients de l’avènement d’une brèche informatique touchant leurs données personnelles dans un court délai.

L’article 33 du Règlement européen sur la protection des données personnelles (« RGPD »), en vigueur depuis mai 2018, exige que des violations de données personnelles soient dévoilées dans les 72 heures suivant la brèche.

En plus d’imposer le délai de 72 heures, l’article 33 créé aussi une obligation de divulgation détaillée, dévoilant notamment la nature des données personnelles touchées, le nombre de sujets touchés, les coordonnées d’une personne ressource, les conséquences de la brèche et les mesures de redressement proposées :

Article 33

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

   b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

   c) décrire les conséquences probables de la violation de données à caractère personnel;

   d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

Cette disposition impose donc un fardeau important aux entités qui découvrent une violation de données personnelles. En effet, l’article 33 du RGPD les oblige à aviser les personnes touchées de façon rapide, détaillée et proactive. Ainsi, bien que des réactions imparfaites – comme celle de British Airways – puissent être attribuées au court délai imposé par le RGPD, il n’en demeure pas moins que la disposition a eu l’effet voulu en obligeant l’entreprise à aviser ses clients d’une brèche de données personnelles s’étant déroulée durant deux semaines. De plus, British Airways se voit aussi obligée de dévoiler que les numéros de cartes de crédits de ses clients ont été touchés, ne pouvant pas se limiter à son premier instinct, matérialisé sous la forme du communiqué initial se limitant à une simple description de données qui n’avaient pas été touchées par la brèche.

La réaction d’Air Canada, quant à elle, se rapproche d’avantage du comportement exigé par le RGPD. En effet, le transporteur aérien fit part de la brèche à ses clients rapidement et demanda à l’ensemble des usagers de modifier leur mot de passe, alors que seule une partie d’entre eux était touché par la brèche potentielle.

Bien qu’il ne soit pas clair si Air Canada réagit ainsi afin de se conformer à l’article 33 du RGPD, au cas où elle y serait assujettie en vertu de l’article 3 RGPD, cette disposition pourrait néanmoins créer une norme de conduite que viseront à respecter les entreprises victimes de brèches informatiques afin d’assurer la conformité de leurs gestes et protéger leurs clients.