L’Information Commissioner’s Office inflige une sanction de 20 millions de livres à l’encontre de British Airways (22 M€). C’est dix fois moins que celle d’abord projetée par la CNIL britannique, mais elle reste la plus importante jamais décidée outre-Manche.
Plusieurs affronts au sacro-saint RGPD ont été mis à l’index dans sa décision, en particulier un manque de sécurisation des données à caractère personnel des clients et salariés.
Une cyberattaque avait frappé ses serveurs en 2018. Des tiers non autorisés ont pu accéder potentiellement aux données de plus de 400 000 personnes, et pour 244 000 d’entre elles, aux noms, adresses et numéro de carte bancaire.
La compagnie s’est vue reprocher de ne pas avoir su prévenir l’attaque, notamment en effectuant des tests rigoureux, en limitant l’accès aux données ou en protégeant les comptes par authentification multifacteur.
