Une sanction RGPD record de 183,39 millions de livres pour la compagnie aérienne British Airways

En septembre 2018, la compagnie aérienne notifie à l’ICO que son système informatique a été compromis. En effet, des pirates informatiques étaient parvenus à attirer le flux de clients du site web de l’entreprise pour les renvoyer vers un faux site permettant de récolter massivement les données des utilisateurs. Il est rapporté que des données personnelles de près de 500 000 d’entre eux ont été détournées parmi lesquelles : des identifiants, des cartes de crédit, ainsi que des détails relatifs aux voyages incluant des noms et des adresses. L’exploitation frauduleuse aurait commencé dès le mois de juin 2018.

A ce sujet, la commissaire à l’information Elizabeth Denham a rappelé :

« Les données personnelles des gens sont justement « personnelles ». Lorsqu’une organisation échoue à les protéger d’une perte, d’une atteinte, ou d’un vol c’est plus qu’un désagrément. C’est pourquoi la loi est claire, dès que l’on vous confie des données personnelles vous devez vous en occuper ».

L’enquête menée par l’ICO a révélé que la sécurité du système d’information a été compromise à cause de mesures techniques et organisationnelles de sécurités insuffisantes, et s’inscrit par conséquent en violation de l’article 32 du RGPD. La compagnie aérienne a coopéré avec l’autorité nationale depuis que ces événements ont été exposés et pourra présenter ses observations afin que l’amende soit potentiellement revue à la baisse.

Il est important de souligner que l’amende estimée de 183,39 millions de livres sterling reste sujette à une appréciation finale de l’ICO, nourrie par les déclarations de British Airways mais aussi par les autres autorités de protection des données des États membres en vertu du mécanisme de « guichet unique » prévu par le Règlement européen.