RGPD: Pourquoi British Airways écope d’une amende record
Victime en 2018 d’un vol massif de données de passagers, British Airways pourrait devoir payer une amende de 183 millions de livres. L'enquête de l’organisme britannique chargé de la protection des données personnelles a révélé des négligences en matière de cybersécurité.
British Airways pourrait devoir payer une amende record liée au règlement européen sur la protection des données personnelles (RGPD). L’ICO, l'organisme britannique chargé de la protection des données personnelles, a en effet communiqué son intention d'infliger une amende de 183 millions de livres (environ 227 millions de francs en ce 8 juillet) à la suite d'une enquête approfondie concernant le vol de données massif dévoilé en septembre dernier par la compagnie aérienne. Ce montant représente 1,5% du chiffre d'affaires annuel de British Airways en 2017, soit moins que le maximum de 4% prévu par le RGPD.
Données financières revendues sur le dark web
Selon l’ICO, les données personnelles d'environ 500’000 clients utilisateurs de l’app mobile et du site web de British Airways ont été subtilisées en détournant vers un faux site une partie des utilisateurs réservant des vols. Les informations compromises incluent les noms, adresse de facturation, adresse mail et les détails des cartes bancaires. Toujours selon l’ICO, la cyberattaque aurait commencé en juin 2018. Ces informations divergent de celles dévoilées par la compagnie, qui avait initialement évoqué le chiffre de quelque 380’000 données bancaires potentiellement affectées via une brèche ayant affecté ses systèmes du 21 août au 5 septembre 2018. Selon le média The Daily Telegraph, le vol aurait été perpétré par le groupe de hackers russes Magecart, lesquels auraient revendus les données sur le dark web, récoltant potentiellement jusqu'à 12,2 millions de dollars.
Nous sommes surpris et déçus
British Airways a respecté les exigences du RGPD, notamment en dévoilant les détails de l’incident dans un délai de 72 heures après sa découverte. L’ICO justifie néanmoins sa décision par le fait que les informations ont été compromises car British Airways n'avait pas pris les précautions adéquates pour protéger les données personnelles de ses clients. La compagnie a réagi en annonçant qu’elle prendra toutes les mesures appropriées pour défendre vigoureusement sa position, si besoin en faisant appel. «Nous sommes surpris et déçus de la conclusion initiale de l’ICO. British Airways a réagi rapidement à un acte criminel visant à voler les données des clients. Nous n'avons trouvé aucune preuve de fraude ou d'activité frauduleuse sur les comptes liés au vol», déclare Alex Cruz, CEO de la compagnie aérienne britannique.