L’Autorité britannique de protection des données (ICO) a fait part, lundi 8 juillet, de son intention d’imposer une amende de 183,39 millions de livres sterling à la compagnie aérienne British Airways pour infraction au règlement général sur la protection des données (GDPR).
En cause : un vol de données qui aurait commencé en juin 2018 et a été notifié à l’ICO en septembre 2018. Les utilisateurs du site internet de British Airways ont été renvoyés vers un site frauduleux qui a recueilli les détails d’environ 500 000 clients, dont des informations relatives aux connexions, aux cartes de paiement et aux réservations de voyages, ainsi que leurs noms et adresses.
Selon l'enquête menée par l'ICO, ce sont de mauvaises dispositions de sécurité au sein de l’entreprise qui auraient permis à un tel cyberincident de se produire.
« Mise en œuvre rigoureuse du GDPR en action. Une nouvelle décision de l’ICO montre que nos autorités ajustent les amendes à l'ampleur de l'infraction », a réagi la commissaire européenne à la Justice, Věra Jourová, sur son compte Twitter.
183 millions de livres sterling seraient en effet l’amende la plus élevée jamais infligée par l’ICO pour atteinte à la protection des données, a commenté pour sa part sur Twitter l’eurodéputé britannique Claude Moraes (S&D), estimant que cela constituait un « avertissement pour les multinationales de traiter nos données avec soin ».
La compagnie aérienne va désormais pouvoir présenter ses observations quant à la sanction proposée, avant que l’ICO ne rende sa décision finale. (Marion Fontana)