L’ICO (autorité anglaise de protection des données personnelles) a décidé de frapper très fort : pour son premier grand cas de « data breach » depuis l’entrée en vigueur du RGPD, elle entend imposer une amende de 204 millions d’euros à British Airways. Le montant est sans nul doute dissuasif, mais il pourrait aussi inciter les entreprises à déclarer le moins d’incidents possibles.
Le data breach est « une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière ».
Conformément à l’article 33 du RGPD, qui prévoit qu’« en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente, British Airways a notifié à l’ICO (l’autorité anglaise de protection des données personnelles) un incident de sécurité en septembre 2018.
Cette violation a permis de détourner vers un faux site le trafic destiné au site officiel. Environ 500.000 clients ont été victimes de la fraude, qui a permis aux attaquants de s’emparer de leurs données telles que des informations relatives à la connexion, aux cartes de paiement et aux réservations de voyage, ainsi que leurs noms et adresses.
Un cas classique de phishing (hameçonnage), qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance [en l’occurrence British Airways] afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc.
British Airways a coopéré à l’enquête et a amélioré ses outils techniques de protection. Mais la compagnie se demande aujourd’hui si elle a vraiment bien fait de déclarer ce sinistre.. Car, au terme de l’enquête, l’ICO a communiqué son projet de décision, infligeant à British Airways une amende extrêmement élevée : 204 millions d’euros.
La responsable de l’ICO, Mme Elizabeth Denham, a fait le commentaire suivant :« People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights ».
L’ICO examinera attentivement les arguments que British Airways ne manquera pas de présenter, ainsi que les observations des autres autorités de protection des données concernées, avant de prendre sa décision finale. Qui est évidemment attendue avec grand intérêt…
[Source : Droit & technologie]
