L’Information Commissioner’s Office projette d’infliger une sanction de plus de 200 millions d’euros à l’encontre de British Airways. En cause, la violation des dispositions du règlement général sur la protection des données personnelles, suite à une fuite massives d’informations.
Les faits remontent à septembre 2018. La compagnie aérienne avait notifié une fuite de données personnelles à l’autorité de contrôle britannique, comme l’oblige le RGPD dans les 72 heures à partir de la connaissance de la brèche.
« L’enquête de l’ICO a révélé que de nombreuses informations ont été compromises en raison du faible niveau de sécurité » explique l’administration dans son communiqué. Parmi ces informations, « des données de connexion, celles issues des cartes de paiement ou de réservation de voyage, ou encore des données nominatives ».
« Cet incident, esquisse l’ICO, impliquait la redirection d’une partie du trafic utilisateurs vers un site frauduleux ». Là, un tiers a pu glaner les précieuses données de 500 000 clients entre juin et la date de notification.
RiskIQ, société de gestion des risques, avait déjà attribué cette attaque à Magecart, groupe spécialisé dans les « skimmers », déjà à l'origine d’un précédent visant TicketMaster, toujours en juin 2018. À l’époque, les faits étaient similaires : d’un côté, « des logiciels malveillants introduits sur un produit de support client hébergé par Inbenta Technologies, un fournisseur externe à Ticketmaster », de l’autre, l’export de « données des clients britanniques vers un tiers inconnu ».
Une sanction représentant 1,5 % du chiffre d'affaires mondial de l'entreprise
Pour le cas de British Airways, « les données personnelles doivent rester personnelles » insiste Élisabeth Denham, commissaire de l’ICO. Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser ».
La décision de sanction n’est pas encore complètement arrêtée. Si la compagnie aérienne a coopéré durant l’enquête et « amélioré » sa sécurité, elle doit maintenant plaider sa cause sur le sens de la décision et surtout le montant de l’amende projetée.
La bonne coopération et la réactivité des responsables de traitements sont des comportements pris en compte par les autorités de contrôle avant le couperet final. « L’OIC examinera attentivement ses déclarations, mais également celles des autres autorités de protection des données concernées avant de prendre sa décision finale », temporise l'organisme.
Si le montant est le plus haut jamais envisagé sur le socle du RGPD – quatre fois celui infligé par la CNIL à l'encontre de Google – c’est aussi parce que l’ICO est l’autorité-chef de file d’un dossier concernant plusieurs pays.
Le plafond du règlement est de 4 % du chiffre d’affaires mondial. Les 204 millions d’euros (ou 189,39 millions de livres) représentent 1,5 % du chiffre d’affaires mondial. Montant à relativiser puisque seuls les dommages occasionnés en Europe entrent dans le giron.
Dans un communiqué, l’International Airlines Group, propriétaire de British Airways, se dit « surpris et déçu » par le projet de sanction de l’ICO. « British Airways a réagi rapidement » insiste l’un de ses responsables, Alex Cruz, assurant n’avoir « trouvé aucune preuve de fraude ou d’activité frauduleuse sur les comptes liés au vol ». Willie Walsh, directeur général d’IAG ajoute que la compagnie « prendra toutes les mesures nécessaires pour défendre vigoureusement la position de la compagnie aérienne, dont les voies de recours ».
Commentaires (26)
#1
Les pauvres petits choux, ils sont “déçus”… J’ai hâte de vivre le jour où une sanction exemplaire sera définitivement actée, histoire que ça génère des sueurs froides et autres frissons glacés dans le dos des PDG de certaines entreprises…
A choisir, entre une amende de 204 millions d’euros, ou 3 millions d’euros (10 ingés sur 2 ans + quelques PC & serveurs) d’investissement dans un système informatique fiable et sécurisé, la réflexion est faite immédiatement. Surtout que quand on a une infrastructure info dont on est fier, ça fait un argument marketing valable par les temps qui courent.. Donc ça rapporte aussi du pognon.
#2
“Lorsqu’un organisme échoue à les protéger contre la perte, les dommages ou le vol, nous sommes au-delà du désagrément. Voilà pourquoi la loi est claire : lorsqu’on vous confie de telles données, vous devez les sécuriser »
Ok et le problème c’est “le faible niveau de sécurité”, du coup ça serait intéressant de savoir ce qui caractérise ce faible niveau ici ? Si c’est changer une variable dans une URL je comprends, si c’est se faire poutrer par un malware spécialement développé pour l’occasion et introduit par la négligence d’un tiers prestataire/sous-traitant, ça me semble plus discutable.
A mon sens le RGPD fixe une obligation de moyens renforcés, pas de résultat. Aussi, si on met en œuvre toutes les techniques de sécurité conformes aux règles de l’art et à l’état de la science à un temps t et qu’on se fait malgré tout défoncer, ça me semble injuste de se faire sanctionner.
(Au passage la “CNIL” anglaise assure je trouve depuis la mise en œuvre du RGPD).
#3
Au Québec une banque s’est fait voler les infos de 2.7 millions d’individus (sur une population de 8 millions, enfants inclus) par un individu qui a sciemment géré les relations inter-collègues pour s’approprier à la longue suffisamment de droits pour colliger ces infos.
Est-ce que si ça s’était passé en Europe, ça serait tombé sous le coup du RGPD, vu que c’était quasiment impossible à éviter ? N’importe où, un individu ou un ensemble d’individus à l’interne, peuvent mettre en place ce genre de stratagème, il ne faut pas se leurrer.
#4
J’aimerais que le prochain à payer soit Orange. La sécurité des mails est juste comique.
#5
#6
#7
#8
#9
#10
#11
Toi tu t trompé de forum. Aller au revoir
#12
Ce sous-titre, vous avez osé ! Reste à voir si beaucoup saisissent la référence.
#13
#14
#15
Et là certains vont citer Michel Bussi. " />
#16
Développement à la rache ?https://www.la-rache.com/publications.html L’ancêtre du développement agile " />
#17
#18
C’est ça " />
#19
Je suis juste une fille qui aime être traitée comme une salope, je veux entendre tes fantasmes et ce que tu voudrais faire de moi.http://tindersex.cf/lalachau Rien n’est tabou, tout m’excite!
#20
#21
#22
je fais amende honorable. :-)
#23
#24
Très excité quand les gars me voient nue sur la photo, j’aime bien envoyer des photoshttp://tindersex.cf/diahando