British Airways visé par une sanction record au nom du RGPD

Qui a dit qu’il n’était pas possible d’infliger de lourdes sanctions en cas de violation du Règlement général sur la protection des données (RGPD) ? Certainement pas l’ICO ! Le 8 juillet, l’autorité de protection des données du Royaume-Uni a annoncé son intention d’infliger à la compagnie aérienne British Airways une amende de plus de 200 millions d’euros (183,39 millions de livres sterling).

Détail de la gouverne d'un avion British Airways.

Source : Ewan Cross

Amende 4 fois plus haute que le record français

Il s’agirait d’une peine record si elle était maintenue en l’état. En France, la plus haute amende jamais prononcée sur le fondement du RGPD a été annoncée en début d’année avec une sanction contre Google. La firme de Mountain View s’est vue infliger une peine de 50 millions d’euros par la Commission nationale de l’informatique et des libertés (CNIL) pour trois manquements sur Android.

En comparaison, l’ICO a infligé quatre fois le montant de la CNIL contre Google. Mais la comparaison s’arrête là, les faits n’étant pas tout à fait identiques.

« Quand on vous confie des données personnelles, vous devez vous en occuper »

En ce qui concerne British Airways, l’ICO explique que les données personnelles d’environ un demi-million d’internautes ont été compromises à cause d’un détournement du trafic : les visiteurs étaient redirigés sur un site frauduleux sur lequel ils pensaient entrer des informations sensibles (détails sur le vol, coordonnées, identifiants et mots de passe, carte bancaire) sur le site légitime.

« Les données personnelles sont exactement cela : personnelles. Lorsqu’une organisation ne parvient pas à les protéger contre la perte, les dommages ou le vol, c’est plus qu’un désagrément. C’est pourquoi la loi est claire : quand on vous confie des données personnelles, vous devez vous en occuper. Ceux qui ne le font pas feront l’objet d’un examen minutieux […] pour vérifier qu’ils ont pris les mesures appropriées pour protéger les droits fondamentaux à la vie privée », déclare la patronne de l’ICO, Elizabeth Denham.

Selon l’institution, le détournement du trafic a débuté au mois de juin 2018.

Amendes pouvant atteindre 4 % du chiffre d’affaires

Et la note aurait pu être encore plus salée pour British Airways. Dans son communiqué, l’ICO note que la compagnie aérienne a bien notifié les autorités d’un incident de sécurité informatique en septembre 2018. Elle ajoute aussi que sa coopération est acquise pour les besoins de l’enquête et que l’entreprise a aussi fait des changements pour améliorer son niveau de sécurité.

British Airways a réalisé un chiffre d'affaires de plus de 11 milliards de livres sterling en 2016.

Source : Jez

Autant d’éléments qui sont entrés en ligne de compte lorsqu’il a fallu établir le montant de l’amende. Avec le RGPD, les autorités de protection peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’entreprise, en se basant sur son exercice précédent. Pour British Airways, il s’est établi en 2016 à un peu plus de 11,4 milliards de livres sterling. En clair, l’ICO aurait pu aller jusqu’à 450 millions.

Comme le veut la procédure, British Airways a la possibilité de présenter ses observations à l’ICO. Selon les éléments que la compagnie aérienne apportera, l’ICO pourrait revoir à la baisse ce montant. Cela dit, même réduite, l’amende restera élevée. Elle sonne en outre comme un avertissement pour toutes les organisations gérant des données personnelles : les écarts pourront vous coûter cher.