GDPR amende British Airways : société piratée doublement victime ?

Author info
Geert Somers

L’Autorité de contrôle britannique Information Commissioner's Office (ICO), a annoncé son intention d'infliger à British Airways une amende de 183 millions de livres sterling (équivalant à 243,47 millions d'euros).

Ceci représente 1,5 % du chiffre d'affaires total de l'entreprise pour l'exercice 2017. Il s’agit d’une proposition d’amende. Cela signifie que British Airways a désormais la possibilité de prendre position et de formuler ses observations sur les conclusions, l'enquête et l'amende proposées par l'ICO.

Que s'est-il passé ?

Une cyberattaque contre British Airways

Le déclencheur qui a donné lieu à l'amende du RGPD proposée par l'ICO est une cyberattaque contre la compagnie aérienne britannique. Depuis juin 2018, les cybercriminels redirigent le trafic du site officiel de British Airways vers un autre site frauduleux. Ainsi, les cybercriminels auraient obtenu des données personnelles d'environ 500 000 clients. C'est ce que l'enquête de l'ICO a révélé. 

Une enquête menée par l'ICO en tant qu'autorité principale

L’ICO a entamé l'enquête après avoir reçu une notification de la part de la compagnie aérienne portant sur l'atteinte à la protection des données en septembre 2018. L'enquête a révélé que différentes catégories de données personnelles avaient fait l'objet de fuites. Il s'agissait de données telles que les données de connexion, de réservation, de nom et d'adresse, mais aussi de données financières telles que les dates d'expiration et le code CVC à trois chiffres de la carte de crédit. Toutefois, British Airways indique sur son site Web qu'aucune donnée d’itinéraire ou de détail de passeport n'a fait l'objet de fuites. 

L'étude sera menée par l'ICO en tant qu'autorité de contrôle principale dans le cadre du mécanisme du guichet unique. Ce mécanisme implique que l'autorité de contrôle de l’établissement principal dans l'UE mènera l'enquête et coopérera avec les autres autorités de contrôle à cette fin. Ces autorités pourront également formuler des observations sur l'amende proposée avant que l'ICO n'impose une amende finale.  

L'amende administrative proposée

Potentiellement l'amende la plus élevée jusqu'à présent dans le cadre du RGPD

Le RGPD prévoit qu'une amende administrative ne peut excéder 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice social précédent par l'entreprise concernée (article 83 du RGPD). L'amende de 183,39 millions de livres sterling (soit 243,47 millions d'euros) proposée par l'ICO est égale à 1,5% du chiffre d'affaires annuel de British Airways en 2017. L'amende proposée se situe donc dans les limites fixées par le RGPD, mais il s'agirait de l'amende la plus élevée infligée à ce jour par une autorité de contrôle. Cette amende potentielle équivaut à quatre fois l'amende infligée à Google plus tôt cette année par la CNIL. 

Facteurs qui jouent un rôle dans le calcul

En tout état de cause, l'ICO devrait tenir compte des éléments de l'article 83 du RGPD pour le calcul de l'amende. Elle prévoit également que toute amende doit être effective, proportionnée et dissuasive. Toutefois, l'ICO n'a pas encore fourni d'informations sur le calcul exact de l'amende, mais les éléments suivants nous semblent pertinents pour ce calcul :

  • Le premier élément est que l'atteinte à la protection des données était plus importante que celle signalée par la compagnie aérienne. Le 6 septembre 2018, British Airways a affirmé que 380 000 personnes seraient impliquées dans la fuite de données, mais l'enquête de l'ICO a indiqué que 500 000 personnes seraient concernées. Il se peut que l’ICO ait tenu compte de cet élément dans le calcul de l'amende.
  • Un deuxième élément est la nature des données personnelles divulguées, à savoir les données financières. Bien que ces données ne constituent pas des données sensibles au sens de l'article 9 du RGPD, une fuite de ces données pourrait entraîner un préjudice pour les personnes concernées. Après tout, suffisamment d'information - y compris les noms des clients, les adresses de facturation et les codes CVC - avaient été divulguées pour effectuer des transactions en ligne avec l'argent des personnes impliquées. 
  • Un troisième élément dans le calcul de l'amende est l'absence de mesures de sécurité appropriées. La cyberattaque a probablement été rendue possible par le fait que British Airways n'avait pas pris de mesures techniques et organisationnelles appropriées requises par le RGPD afin d’assurer la sécurité des données(article 32 du RGPD). 

British Airways n'accepte pas l'amende

Selon l'ICO, British Airways a participé à l'enquête et la compagnie aérienne a depuis lors amélioré son système de sécurité, mais cela s'est révélé insuffisant pour convaincre l'ICO. 

Dans l'intervalle, British Airways a communiqué qu'elle était surprise et déçue par l'amende proposée par l'ICO. Selon le PDG, l'entreprise a réagi rapidement au vol des données de ses clients. Dans la même communication, International Airlines Group - le groupe auquel British Airways appartient - a déclaré ne pas approuver l'amende proposée par l'OIC. Elles prendront toutes les mesures nécessaires pour défendre la position de l'entreprise et, le cas échéant, pour faire appel contre l'amende.

Reste à voir si l'ICO tiendra bon et imposera réellement cette amende monstrueuse. En attendant, les consommateurs concernés peuvent trouver toutes les réponses à leurs questions sur le site web de British Airways

Six leçons préliminaires de l'affaire  

  1. Tenez compte des principes de base du RGPD : ne traiter que les données à caractère personnel qui sont nécessaires conformément au principe du traitement minimal des données. Par exemple, ne stockez pas de code CVC pendant une longue période si cela n'est pas nécessaire.
  2. Prenez les mesures techniques et organisationnelles appropriées : lors du traitement de données à caractère personnel, des mesures appropriées doivent être prises pour assurer la sécurité.
  3. Faites très attention aux données financières : ceux qui traitent les données financières doivent être très prudents et prendre les mesures appropriées qui reflètent le risque.
  4. Signalez une atteinte à la protection des données à temps : s'il y a un risque, signalez l'atteinte à la protection des données à l'autorité de contrôle compétente dans les 72 heures et fournissez toutes les informations disponibles à ce moment.
  5. Faites un rapport supplémentaire si nécessaire : un rapport peut être fait en plusieurs phases. Cela signifie que le premier rapport peut encore être corrigé au moyen d'un deuxième rapport. Par exemple, cela peut s'avérer nécessaire si une enquête interne révèle que le nombre de personnes touchées est plus élevé que prévu. 
  6. Éviter la double perte : si vous ne prenez pas les mesures techniques et organisationnelles appropriées et que vous êtes la cible de pirates informatiques, vous subirez une double perte, c'est-à-dire une dégradation importante de votre image et une amende élevée du RGPD.