Plus de 200 millions d‘euros d’amende RGPD pour British Airways

À la suite de la violation massive de données personnelles dont elle a fait l’objet (plus de 500 000 clients affectés), la compagnie British Airways devrait se voir infliger par l’Information Commissionner’s Office (ICO), l’autorité de contrôle en charge de la protection des données personnelles en Grande Bretagne, une sanction dépassant les 200 millions d’euros.

Des faits qui remontent à juin 2018, notifiés en septembre

Notifié par British Airways à l’ICO en septembre 2018, l’incident à l’origine de cette sanction était en partie lié à un détournement des visites des utilisateurs du site de la compagnie vers un site frauduleux. Les informations et coordonnées des clients étaient alors subtilisées par les attaquants. Les faits remontent à juin  2018.

Elizabeth Dunham, la représentante de l’ICO, justifie la fermeté de sa position par le caractère impérieux des devoirs attachés au traitement et au stockage des données personnelles :

Les données personnelles des gens sont exactement cela – personnelles. Quand une organisation échoue à les protéger contre la perte, le dommage ou le vol, il s’agit de plus qu’un désagrément. C’est pourquoi la loi est claire : quand on vous confie des données personnelles, vous devez en prendre soin. Ceux qui ne le font pas s’exposent à la vigilance de mes services, qui vérifient qu’il a été pris les mesures appropriées pour protéger les droits fondamentaux sur la vie privée.

Une amende qui représente 1,5 % des revenus annuels de British Airways

D’un montant exact de 183,39 millions de livres sterling (205,17 millions d’euros), cette amende, annoncée le 8 juillet 2019 par l’ICO, représente 1,5 % des revenus de British Airways en 2017. L’ICO, qui indique avoir consulté en tant qu’autorité chef de file ses homologues d’autres États membres également impactés par l’incident, précise toutefois que sa décision n’est pas finale :

L’ICO considérera attentivement les déclarations faites par l’entreprise et par les autres autorités de contrôle avant de prendre sa décision finale.

Quoi qu’il en soit, même si les fameux 4 % prévus par le RGPD ne sont pas atteints, on se situe bien dans cet ordre de grandeur.

(Source : ICO)