En octobre 2018, Cathay Pacific Airways Limited révélait avoir été victime d’une brèche de sécurité. Furent divulgués les nom, nationalité, date de naissance, numéro de téléphone, email, adresse, numéros de passeport, de carte d'identité et du programme de fidélisation, remarques du service client ou encore l’historique des voyages…  

Selon la CNIL britannique, entre octobre 2014 et mai 2018, les données personnelles de 111 578 clients en provenance du Royaume-Uni ont été touchées.

« L’incapacité de la compagnie aérienne à sécuriser ses systèmes a entraîné l’accès non autorisé aux données personnelles de ses passagers » explique l’autorité. Cathay Pacific avait subi une attaque par force brute. « Des logiciels malveillants avaient été installés pour récolter des données ». 

L’ICO a repéré au surplus « des fichiers de sauvegarde non protégés par mot de passe, des serveurs accessibles sans connexion Internet, l’utilisation de systèmes d'exploitation dépassés et des protections antivirus inadéquates ».

« En vertu de la législation sur la protection des données personnelles, les responsables de traitement doivent mettre en place des mesures de sécurité appropriées et de solides procédures pour garantir que toute tentative d'infiltration de systèmes informatiques soit rendue aussi difficile que possible. »

Pour cette brèche, auscultée sur la base de la législation antérieure au RGPD, la société se voit infliger une amende de 570 000 euros.