RGPD : amende record de 200 millions d’euros pour British Airways

L’amende est salée pour British Airways. Après le piratage de données financières de centaines de milliers de clients l’année dernière, et au terme d’une « enquête approfondie » de l'organisme britannique de protection des données personnelles (ICO), la compagnie aérienne est contrainte de signer un chèque de 183,4 millions de livres sterling (204 millions d'euros) – soit 1,5% du chiffre d'affaires annuel du groupe en 2017.

British Airways révélait en septembre dernier avoir été touchée par une cyberattaque, entre le 21 août et le 5 septembre, visant les données bancaires de ses clients. Via un site frauduleux, profitant d’une faille informatique, les détails des utilisateurs du site internet de la compagnie ont été recueillis par les pirates. A la fin du mois d’octobre, la compagnie aérienne indiquait que d'autres clients s'étaient fait dérober leurs données financières entre le 21 avril et le 28 juillet.

Selon l’ICO, qui pointe « de mauvais systèmes de sécurité dans l'entreprise », les identifiants de connexion, les détails de cartes bancaires et des informations personnelles comme le nom et l'adresse d’environ 500.000 clients seraient concernées. « Les données personnelles des gens doivent le rester […]. Lorsqu'on vous confie des données personnelles vous devez les protéger. Ceux qui ne le feront pas seront poursuivis pour vérifier qu'ils ont pris les mesures adéquates », a souligné la commissaire de l'ICO, Elizabeth Denham.

Jusqu’à 4% du chiffre d’affaires

British Airways, qui avait promis dès septembre des compensations pour les voyageurs financièrement lésés, ne cesse néanmoins de répéter qu'elle n'a pas été informée d'une perte d'argent chez les clients touchés par ce piratage informatique. « Nous sommes surpris et déçus des conclusions initiales de l'ICO », a déploré le PDG de British Airways, Alex Cruz, assurant que l’entreprise avait « répondu rapidement à l'acte criminel du vol des données de ses clients ». Le directeur général de la maison-mère IAG, Willie Walsh, a annoncé son intention de négocier le montant de l’amende et de faire appel.

Une nouvelle amende – la plus lourde jusqu’à présent dans le cas d’un piratage de données – pour le RGPD européen, qui a soufflé sa première bougie au mois de mai.

Le règlement européen pour la protection des données personnelles (RGPD) vise à protéger les données des internautes et introduit également la notion de consentement obligatoire pour la collecte et l’exploitation de celles-ci.

De quoi surpasser la sanction record de 50 millions d’euros infligée à Google au début de l’année par la Cnil française, la première sanction d’importance pour le règlement européen des données personnelles. Google et British Airways ne seront bientôt plus seuls : une dizaine de gros dossiers serait à l’étude à Bruxelles.

Le RGPD permet aux régulateurs nationaux d'infliger des amendes pouvant aller jusqu'à 4% du chiffre d'affaires, contre 300.000 euros maximums auparavant. Mais si elles marquent les esprits, ces amendes massives ne sont pas la norme. La plupart des sanctions ne dépassent pas les dizaines ou les centaines de milliers d’euros. A titre d’exemple, une société immobilière du nord de la France, Sergic, a écopé le mois dernier de la part de la Cnil d’une amende de 400.000 euros pour avoir laissé accessibles en ligne des informations personnelles de candidats à la location.