La compagnie aérienne britannique fait face à une amende de près de 200 millions d'euros après un vol de données personnelles. De quoi refroidir les ardeurs de transparence…
Double peine pour British Airways : près d'un an après avoir rendu public un vol massif de données personnelles, la compagnie aérienne britannique vient de se voir infliger une proposition d'amende d'un peu plus de 200 millions d'euros par l'ICO, l'équivalent britannique de la Cnil.
Une première dans le monde de l'aérien ! "Lorsqu'on vous confie des données personnelles, vous devez en prendre soin", tacle Elizabeth Denham, la responsable de l'ICO, dans un communiqué à charge.
Un coup de massue pour British Airways qui ne s'attendait pas à une telle sanction. "Nous sommes surpris et déçus des conclusions initiales de l'ICO", regrette Alex Cruz, le PDG de British Airways, dans un communiqué.
Cette amende ne va pas sans poser de problèmes pour l'avenir. Ces derniers mois, plusieurs grandes compagnies aériennes mondiales ont annoncé avoir subi des vols de données, à commencer par Cathay Pacific qui a reconnu le vol des coordonnées de 9,4 millions de clients entre mars et mai 2018.
Delta Airlines, Lufthansa ou encore KLM font elles aussi partie des compagnies victimes de pirates informatiques. A chaque fois, les compagnies tirent le signal d'alarme et communiquent de façon ouverte. Et aucune sanction financière n'a encore été prononcée par les autorités nationales en charge de la protection des données personnelles. Or si de telles sanctions financières devaient devenir la règle, nul doute que les compagnies aériennes vont réfléchir à deux fois avant de reconnaître un vol de données…
L'amende sera-t-elle payée ?
La sanction imposée par l'ICO apparaît d'autant plus injuste que l'ensemble des compagnies aériennes se montrent mobilisées sur le sujet et suivent les règles de sécurité prodiguées par IATA, notamment dans son "Aviation Cyber Security Toolkit". "British Airways a répondu rapidement à l'acte criminel du vol des données de ses clients", argumente d'ailleurs Alex Cruz, en ajoutant que la compagnie n'a trouvé "aucune preuve d'activité frauduleuse sur les comptes touchés par ce vol".
Reste maintenant à savoir si l'amende sera réellement payée. Willie Walsh, le directeur général d'IAG, la maison mère de British Airways, a fait part de son intention de faire appel de cette décision et de négocier avec l'ICO. L'organisme britannique laisse la porte ouverte en affirmant que la compagnie aérienne pourra réagir au montant des sanctions.
"L'ICO examinera attentivement les déclarations de la société et des autres autorités responsables de la protection des données concernées avant de prendre sa décision finale", conclut-elle. La partie n'est donc pas complètement perdue pour British Airways qui va devoir convaincre de son implication, insister sur son statut de victime et s'appuyer sur le fait qu'aucune compagnie aérienne n'a été encore condamnée pour un vol de données personnelles.
L'ICO a toutefois la réputation d'avoir la main lourde. En octobre dernier, l'organisme a condamné l'aéroport d'Heathrow à une amende d'un peu plus de 130 000 € après qu'un de ses employés ait perdu une clé USB contenant des données sensibles dans une rue de Londres…