Une sanction RGPD record de 183,39 millions de livres pour la compagnie aérienne British Airways

Après une longue investigation, l’autorité nationale de protection des données du Royaume-Uni (« Information Commissioner’s Office » ou « ICO ») a déclaré son intention d’infliger une amende particulièrement élevée suite aux violations des dispositions du Règlement Général sur la Protection des Données (RGPD) par l’entreprise anglaise.

En septembre 2018, la compagnie aérienne notifie à l’ICO que son système informatique a été compromis. En effet, des pirates informatiques étaient parvenus à attirer le flux de clients du site web de l’entreprise pour les renvoyer vers un faux site permettant de récolter massivement les données des utilisateurs. Il est rapporté que des données personnelles de près de 500 000 d’entre eux ont été détournées parmi lesquelles : des identifiants, des cartes de crédit, ainsi que des détails relatifs aux voyages incluant des noms et des adresses. L’exploitation frauduleuse aurait commencé dès le mois de juin 2018.

A ce sujet, la commissaire à l’information Elizabeth Denham a rappelé :

« Les données personnelles des gens sont justement « personnelles ». Lorsqu’une organisation échoue à les protéger d’une perte, d’une atteinte, ou d’un vol c’est plus qu’un désagrément. C’est pourquoi la loi est claire, dès que l’on vous confie des données personnelles vous devez vous en occuper ».

L’enquête menée par l’ICO a révélé que la sécurité du système d’information a été compromise à cause de mesures techniques et organisationnelles de sécurités insuffisantes, et s’inscrit par conséquent en violation de l’article 32 du RGPD.  La compagnie aérienne a coopéré avec l’autorité nationale depuis que ces événements ont été exposés et pourra présenter ses observations afin que l’amende soit potentiellement revue à la baisse.

Il est important de souligner que l’amende estimée de 183,39 millions de livres sterling reste sujette à une appréciation finale de l’ICO, nourrie par les déclarations de British Airways mais aussi par les autres autorités de protection des données des États membres en vertu du mécanisme de « guichet unique » prévu par le Règlement européen.

A propos de Paul VAILLANT

Étudiant Master 2 - Droit de l’Économie Numérique (Faculté de droit de Strasbourg)

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.