L’Information Commissioner’s Office projette d’infliger une sanction de plus de 200 millions d’euros à l’encontre de British Airways. En cause, la violation des dispositions du règlement général sur la protection des données personnelles, suite à une fuite massives d’informations.
Les faits remontent à septembre 2018. La compagnie aérienne avait notifié une fuite de données personnelles à l’autorité de contrôle britannique, comme l’oblige le RGPD dans les 72 heures à partir de la connaissance de la brèche.
« L’enquête de l’ICO a révélé que de nombreuses informations ont été compromises en raison du faible niveau de sécurité » explique l’administration dans son communiqué. Parmi ces informations, « des données de connexion, celles issues des cartes de paiement ou de réservation de voyage, ou encore des données nominatives ».
« Cet incident, esquisse l’ICO, impliquait la redirection d’une partie du trafic utilisateurs vers un site frauduleux ». Là, un tiers a pu glaner les précieuses données de 500 000 clients entre juin et la date de notification.
RiskIQ, société de gestion des risques, avait déjà attribué cette attaque à Magecart, groupe spécialisé dans les « skimmers », déjà à l'origine d’un précédent visant TicketMaster, toujours en juin 2018. À l’époque, les faits étaient similaires : d’un côté, « des logiciels malveillants introduits sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster », de l’autre, l’export de « données des clients britanniques vers un tiers inconnu ».
Une sanction représentant 1,5 % du chiffre d'affaires mondial de l'entreprise
Pour le cas de British Airways, « les données personnelles doivent rester personnelles » insiste Élisabeth Denham, commissaire de l’ICO. Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser ».
La décision de sanction n’est pas encore complètement arrêtée. Si la compagnie aérienne a coopéré durant l’enquête et « amélioré » sa sécurité, elle doit maintenant plaider sa cause sur le sens de la décision et surtout le montant de l’amende projetée.
La bonne coopération et la réactivité des responsables de traitements sont des comportements pris en compte par les autorités de contrôle avant le couperet final. « L’OIC examinera attentivement ses déclarations, mais également celles des autres autorités de protection des données concernées avant de prendre sa décision finale », temporise l'organisme.
Si le montant est le plus haut jamais envisagé sur le socle du RGPD – quatre fois celui infligé par la CNIL à l'encontre de Google – c’est aussi parce que l’ICO est l’autorité-chef de file d’un dossier concernant plusieurs pays.
Le plafond du règlement est de 4 % du chiffre d’affaires mondial. Les 204 millions d’euros (ou 189,39 millions de livres) représentent 1,5 % du chiffre d’affaires mondial. Montant à relativiser puisque seuls les dommages occasionnés en Europe entrent dans le giron.
Dans un communiqué, l’International Airlines Group, propriétaire de British Airways, se dit « surpris et déçu » par le projet de sanction de l’ICO. « British Airways a réagi rapidement » insiste l’un de ses responsables, Alex Cruz, assurant n’avoir « trouvé aucune preuve de fraude ou d’activité frauduleuse sur les comptes liés au vol ». Willie Walsh, directeur général d’IAG ajoute que la compagnie « prendra toutes les mesures nécessaires pour défendre vigoureusement la position de la compagnie aérienne, dont les voies de recours ».