Au troisième trimestre de l’année précédente, British Airlines a passé l’annonce selon laquelle des pirates ont réussi à s’infiltrer dans ses systèmes et à dérober les informations de cartes de crédit d’au moins 380 000 de ses clients. Il y a du nouveau à ce sujet. Primo, pour ce qui est des chiffres, ce sont 500 000 clients de la compagnie aérienne qui ont été affectés. Secundo, il y a des détails supplémentaires quant à la façon dont les pirates ont procédé.D’après une récente publication de l’Information Commissioner’s Office (ICO), les attaquants sont parvenus à diriger les clients vers une copie piégée du site web de réservation. C’est ensuite par ce biais qu’ils ont pu procéder à la collecte des données (noms, adresses mail, adresses personnelles, numéros de cartes de crédit et codes CVV). En sus, l’ICO donne des détails sur la période à laquelle la pénétration des systèmes informatiques de l’entreprise a eu lieu. Selon ses estimations, la compromission du site web a débuté au mois de juin 2018. Les premiers signalements de l’attaque ne seraient survenus que 3 mois plus tard, soit en septembre 2018.
« Lorsqu’on parle de données personnelles, le mot clé est personnel. Lorsqu'une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c'est plus qu'un inconvénient. La loi est claire, quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas devront se soumettre à un examen minutieux de mon bureau pour vérifier qu'ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée », a déclaré la commissaire à l'information, Elizabeth Denham.
En droite ligne avec cette déclaration l’ICO annonce son intention d’infliger une amende de 183 millions de livres sterlings. Cette sanction intervient moins d'un an après que l'organisme de réglementation a infligé une amende de 500 000 livres à Facebook pour le scandale de Cambridge Analytica. L'écart entre les montants est considérable et à mettre sur le compte des changements en matière de réglementation . En effet, l'amende infligée à Facebook était le montant maximum autorisé par l'ancien règlement britannique sur la protection des données personnelles – le Data Protection Act de 1998. Le Règlement Général sur la Protection des Données (RGPD) pour sa part impose d'infliger aux entreprises qui tombent sous le coup de violations de données des amendes qui vont jusqu'à un maximum 4 % de leur chiffre d'affaires mondial. L’amende que l’ICO entend infliger à British Airlines représente 1,5 % du chiffre d’affaire de la compagnie en 2017.
« Le fait que British Airways continue d’affirmer qu’il n’y a pas eu d’activité frauduleuse en lien avec ce piratage justifie cette amende. Ma carte Amex a été clonée et utilisée et il est clair que les données proviennent de cet incident. Réveillez-vous British Airlines. Vos systèmes informatique ne sont pas terribles », s’indigne une victime via le réseau social Twitter.
British Airways, qui a depuis lors renforcé sa sécurité sur Internet, peut faire appel des conclusions et du montant de l'amende avant que l'ICO ne rende une décision finale. La compagnie dispose de 28 jours pour mener des démarches dans le but d’influer sur la conclusion de l’ICO. Dans tous les cas, British Airways aura un montant à verser. Ce dernier sera réparti entre toutes les autorités européennes en charge de la protection des données. Le trésor britannique pour sa part est chargé d’encaisser les fonds issus de ce cas via l’ICO.
Source : ICO
Et vous ?
Que pensez-vous des dispositions du RGPD en matière d’amendes ? Voir aussi :
Cambridge Analytica aurait fait du profilage de 50 millions d'utilisateurs de FacebookPour influer sur les élections US et le vote du Brexit L'Italie inflige à Facebook une amende d'1,1 million de dollars pour utilisation abusive de données par Cambridge Analytica Facebook pourrait être frappé par une « amende record » par la FTC pour atteinte à la vie privée dans l'affaire Cambridge Analytica, selon un rapport Des informations permettant de pirater les équipements d'un aéroport seraient en vente pour 10 dollars US sur le dark web Une firme de sécurité poursuivie pour ne pas avoir pu détecter un malware qui a permis de pirater les données de plus de 650 clients d'une entreprise 
