Conformément au règlement général sur la protection des données (RGPD), la compagnie aérienne British Airways a signalé, en septembre 2018, à l’Information Commissioner’s Office (ICO), l’organisme britannique chargé de la protection des données personnelles, avoir subi une cyberattaque.
Elle a constaté que les données personnelles d’environ 500.000 clients ont été compromises lors de cet incident, qui aurait commencé en juin 2018.
Lenquête de lICO a révélé que cette cyberattaque a été rendue possible à cause d’une faille informatique qui a permis de détourner le trafic destiné au site officiel de la compagnie aérienne vers un faux site.
Les données personnelles détournées portaient sur des informations de connexion, mais aussi sur des données financières (données de cartes bancaires, à savoir le numéro, la date d’expiration et le code sécurisé à trois chiffres) et de réservation de voyage, ainsi que des informations sur le nom et ladresse des passagers.
British Airways a coopéré à l’enquête de l’ICO et a amélioré ses dispositions en matière de sécurité depuis la révélation de ces événements.
A la suite d’une enquête approfondie, l’ICO a annoncé, le 8 juillet 2019, qu’elle avait l’intention d’infliger une amende de 204 millions d’euros (183.390 millions de livres) à British Airways, représentant 1,5 % du chiffre d’affaires annuel de la compagnie en 2017.
Elle examinera attentivement les arguments que British Airways, ainsi que les observations des autres autorités de protection des données concernées, avant de prendre sa décision finale.