• Données personnelles

    par brm_admin

    L’Information Commissioner’s Office (ICO), a annoncé son intention d’infliger à la compagnie aérienne British Airways une amende de plus de 200 millions d’euros (183,39 millions de livres sterling)

    Ce 8 juillet, l’autorité de contrôle du Royaume-Uni, l’Information Commissioner’s Office (ICO), a annoncé[1] son intention d’infliger à la compagnie aérienne British Airways une amende de plus de 200 millions d’euros (183,39 millions de livres sterling).

    Si la commission anglaise confirmait son intention de punir la compagnie aérienne, cette sanction serait la plus importante jamais prononcée au sein de l’Union Européenne (loin devant les 50 millions d’euros infligés à Google par la CNIL en ce début d’année).

    L’autorité britannique explique que les informations personnelles d’environ un demi-million d’utilisateurs ont fait l’objet d’une violation due à un détournement du trafic du site internet de British Airways : les internautes étaient redirigés, à partir du site de la compagnie, vers un site frauduleux sur lequel ils étaient invitées à rentrer des informations « hautement » personnelles (détails sur le vol, coordonnées, identifiants et mots de passe, carte bancaire).

    Cette violation fait écho aux précédentes révélations de la compagnie anglaise qui avait communiqué sur la cyberattaque dont elle avait fait l’objet en août 2018 et dont il avait résulté la fuite d’informations d’environ 244.000 cartes de paiement.

    Il est important de rappeler qu’en matière de sécurité, le plafond des amendes pouvant être prononcé est de 20 Millions d’euros ou de 4 % du chiffre d’affaire. En l’espèce, British Airways a réalisé en 2016 un peu plus de 11,4 milliards de livres sterling de chiffre d’affaires, ce qui aurait pu faire grimper la sanction jusqu’à 450 millions de livres sterling.

    Bien sûr, British Airways a la possibilité de présenter ses observations à l’ICO, ce qui pourrait faire baisser le montant annoncé de l’amende. Toutefois, cette décision pourrait souligner l’affirmation d’une nouvelle politique des autorités de contrôle européenne bien décidées à ne plus laisser passer les errements de sécurité en matière de données à caractère personnel.

    La déclaration de la commissaire britannique à l’information, Elizabeth Denham, tend rappeler l’importance d’une politique de sécurité renforcée : « Les données personnelles sont exactement cela : personnelles. Lorsqu’une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c’est plus qu’un désagrément. C’est pourquoi la loi est claire : quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas feront l’objet d’un examen minutieux […] pour vérifier qu’ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée »[2].

    En bref, les organismes ont intérêt à s’assurer de la protection des informations qui leur sont confiées ou bien, comme pour British Airways, les montants des amendes pourront s’envoler.

    [1] ICO, Intention to fine British Airways £183.39m under GDPR for data breach, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-ico-announces-intention-to-fine-british-airways/

    [2] Idem