Lourde sanction pour British Airways suite au piratage.
L’Autorité anglaise de protection des données personnelles en abrégé lCO a frappé fort en condamnant d’une amende de deux cents quatre (204) millions d’euros British Airways.
Il faut avouer que pour son tout premier vrai cas de « data breach » depuis la mise en vigueur du GDPR, elle compte bien s’imposer. Le montant de l’amende est sans nul doute dans un élan dissuasif, mais pourrait engendrer d’autres conséquences. En effet les entreprises pourraient être amenées à déclarer de moins en moins les incidents de ce genre, pour éviter le coup de pareilles sanctions.
Cet article va aussi vous intéresser : Active Assurance condamnée à 180 000 euros d’amende par la CNIL.
L’affaire remonte depuis septembre 2018, La compagnie British Airways avait notifié à l’autorité anglaise de protection des données personnelles un problème lié à la sécurité, en conformité de l’article 33 de la GDPR qui dispose qu’en cas d’une violation de données à caractère personnel, le responsable du traitement est tenu de notifier cette violation en question à l’autorité de contrôle compétente qu’est l’ICO.
Dans le cas d’espèce, la compagnie d’aviation British Airways, s’est fait détourner le trafic internet destiné au site officiel de la compagnie vers un site factice. Plus de cinq cents milles (500.000) clients ont été victime de cette fraude, qui a permis aux Pirates de subtiliser plusieurs données telles que des données relatives à la connexion, aux informations concernant les différentes transactions des clients (aux cartes de paiement, réservations de voyages) ainsi que des informations nominatives telles que (les noms et adresses.) C’est de du distinguées classique (l’hameçonnage). La lourdeur de l’amende était surement due au fait qu’une technique aussi classique puisse confondre l’ensemble du système d’une aussi grande compagnie. L’occasion de s’interroger sur une possible négligence serait surement de mise.
Pour justifier cette amende colossale, Elizabeth Denham, responsable de l’autorité Anglaise de régulation affirme ceci : « Les données personnelles des personnes n’est que cela – des données personnelles. Lorsqu’un organisme ne parvient pas à le protéger contre la perte, les dommages ou le vol, c’est plus qu’un inconvénient. C’est la raison pour laquelle la loi est claire: lorsqu’on vous confie des données personnelles, vous devez en prendre soin. Ceux qui ne le font pas devront faire l’objet d’un examen minutieux de la part de mon bureau pour vérifier qu’ils ont pris les mesures appropriées pour protéger les droits fondamentaux de la vie privée.»
Le « data breach » est une notion qui se définit conformément à l’article 4 de la GDPR comme une violation à la sécurité d’un système entraînant ainsi de manière accidentelle ou illicite, partielle ou totale la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de d’information à caractère personnel qui sont soit transmises, soit conservées ou traitées d’une autre manière.
British Airways a bien sûr collaboré à l’enquête et cela lui a permis d’améliorer ses outils techniques de protection.
Au final de l’enquête, menée en coopération avec d’autres autorités dans la conformité du nouvel article 60, l’autorité administrative vient donc de nous communiquer son projet de décision infligeant ainsi une amende extrêmement élevée à British Airways de 204 millions d’euros.
Accédez maintenant à un nombre illimité de mot de passe :