British Airways face aux conséquences du RGPD

©EPA

La compagnie aérienne British Airways a annoncé écoper d’une amende de 183 millions de livres suite à un vol massif de données sur quelque 500.000 clients. Une décision influencée par les nouvelles dispositions du RGPD.

 

183 millions de livres (un peu plus de 200 millions d'euros) ou 1,5% du chiffre d’affaires annuel de la compagnie aérienne en 2017. C’est le montant que devra payer British Airways suite à une décision historique de l’ICO, l’autorité indépendante britannique chargée de la protection des données. Une décision incompréhensible pour la maison-mère de la compagnie, IAG, qui a déjà annoncé par la voix de son directeur, Willie Walsh, sa volonté de négocier avec l’ICO et faire appel de la décision.

"Quand vous êtes en possession d’informations personnelles, vous devez y faire attention."
Elizabeth Denham
Commissaire britannique à l'information

"Nous sommes surpris et déçus des conclusions initiales de l'ICO, explique le CEO. British Airways a répondu rapidement à l'acte criminel du vol des données de ses clients. Nous n'avons trouvé aucune preuve d'activité frauduleuse sur les comptes touchés par ce vol."

 

Un plaidoyer peu convaincant pour l’autorité indépendante. Selon cette dernière, le vol des données est dû "aux mauvais systèmes de sécurité de l’entreprise". Les clients de la compagnie aérienne ont été redirigés vers un site frauduleux. Des données sensibles comme les mots de passe, les adresses, les méthodes de paiement ou encore les détails des voyages de centaines de milliers de clients ont été dérobés.

La décision se veut un exemple pour le milieu entrepreneurial. "Quand une organisation échoue à protéger les données de ses clients d’un vol ou d’une perte, c’est plus qu’un inconvénient. C’est pourquoi la loi est claire – quand vous êtes en possession d’informations personnelles, vous devez y faire attention", estime la commissaire britannique à l’information, Elizabeth Denham.

Un test pour le RGPD

4%
Amende maximale
L'amende maximale imposable sur le revenu annuel d'une entreprise

Tout l’intérêt de cette décision repose sur sa prise en compte du Règlement général sur la protection des données, le célèbre RGPD, visant à assurer les droits des citoyens européens en matière de vie privée. L’ICO mène cette investigation au nom de toutes les autorités de protection des données des états membres de l’Union européenne.

Les clients lésés de British Airways à travers l’Europe auront la possibilité de réagir aux résultats de l’autorité britannique. C’est le principe du "One stop shop" (ou guichet unique) qui vise à déterminer une autorité chargée d’assurer la procédure pour l’ensemble des états membres. Dans ce cas-ci, le centre de contrôle des données de British Airways est basé en Grande-Bretagne, l’ICO a donc pris la main sur le sujet.

 

"Les entreprises sont exposées à des conséquences importantes dans le monde réel."
Russ Mould
Analyste chez AJ Bell

L’amende salée infligée à British Airways est aussi un élément dévolutif du RGPD. Les entreprises peuvent maintenant recevoir une amende équivalente jusqu’à 4% de leur revenu annuel. L’ICO n’a donc pas infligé l’amende maximale qui aurait pu aller jusqu'à 500 millions de livres sterling. Cela n’en reste pas moins la plus grosse amende imposée à une entreprise dans le cadre du non-respect de la protection des données. 376 fois supérieure à celle infligée à Facebook dans le cadre du scandale de Cambridge Analytica de 2018 (avant l'entrée en vigueur du RGPD).

 

Russ Mould, analyste à la maison de courtage AJ Bell, souligne que cette amende massive montre à quel point la question de la protection des données devient un enjeu économique majeur. "Les entreprises conservent de plus en plus de données personnelles sur internet, mais si elles les perdent, elles sont exposées à des conséquences importantes dans le monde réel, comme le montre l'annonce d'aujourd'hui", a-t-il expliqué à l’AFP.

Lire également

Publicité
Publicité

Echo Connect