Amende record pour British Airways après un vol massif de données
La compagnie aérienne British Airways a annoncé, le 8 juillet 2019, qu’elle risquait d’écoper d’une amende de 183 millions de livres sterling, après le vol de données de centaines de milliers de clients en 2018.
183 millions de livres sterling, soit un peu plus de 204 millions d’euros. C’est l’amende que compte infliger l’ICO, l’organisme britannique de protection des données personnelles, à British Airways, a-t-on appris début juillet 2019. L’amende, qui correspond à 1,5 % du chiffre d’affaires annuel de la compagnie en 2017, fait suite à un vol de données notifié à l’ICO en septembre 2018.
« Nous sommes surpris et déçus des conclusions initiales de l’ICO, a déploré le PDG de British Airways, Alex Cruz. British Airways a répondu rapidement à l’acte criminel du vol des données de ses clients. Nous n’avons trouvé aucune preuve d’activité frauduleuse sur les comptes touchés par ce vol. »
De son côté, l’ICO a confirmé dans un communiqué (en anglais) son intention d’infliger une amende de 183,39 millions de livres sterling pour manquements au RGPD.
Fuite massive d’informations
L’affaire remonte à l’année dernière. En septembre 2018, la compagnie aérienne britannique avait annoncé mener une enquête sur le vol de données de 380 000 cartes de paiement, suite à une faille informatique. En octobre, elle précisait que 244 000 cartes avaient effectivement été affectées, avant d’annoncer que 185 000 clients supplémentaires pourraient être concernés.
Après une enquête approfondie, l’ICO estime qu’environ 500 000 clients ont vu leurs données compromises. L’incident, qui aurait commencé en juin 2018, impliquerait la redirection du trafic des utilisateurs vers un site frauduleux. L’organisme pointe de “mauvais systèmes de sécurité dans l’entreprise“, et a précisé que parmi les éléments dérobés figuraient les identifiants de connexion, les données de cartes bancaires et des informations personnelles comme le nom et l’adresse.
« Les données personnelles doivent rester personnelles, a expliqué Elisabeth Denham, commissaire de l’ICO. Lorsqu’une organisation échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie des données personnelles, vous devez les sécuriser ».
Négociations à suivre sur le montant de l’amende
La sanction décidée n’est pas encore définitive. L’ICO a précisé que British Airways avait coopéré pour résoudre ce problème et que la compagnie avait depuis amélioré ses procédures de sécurité. Le directeur général d’IAG, la maison mère de British Airways, a annoncé son intention de négocier avec l’ICO et de faire appel.
Gaëlle Carcaly – Journaliste
Actualités
Depuis l’entrée en vigueur le 1er octobre 2025 du décret n° 2025-355 du 18 avril 2025, les règles relatives à…
-
Le référentiel Apsad R1, pilier de la protection incendie par sprinkleur en France, a fait l'objet d'une nouvelle édition…
-
Euralarm a publié un nouveau document d'orientation sur l'utilisation des systèmes de détection et d'alarme incendie (FD&A) pour soutenir les…
-
Nous avons interrogé le psychosociologue du travail Philippe Zawieja, auteur d’un « Que sais-je » sur la fatigue, afin…
-
Plus de dix ans après la mise en application de la loi Alur, l’heure du renouvellement des détecteurs de…
-
C'est une jurisprudence de la Cour de cassation du 4 décembre 2025 en termes de faute inexcusable de l'employeur :…
