Le 8 juillet 2019, l’annonce tombe : British Airways a été condamnée à verser 183 millions de livres d’amende à l’ICO. (l’Information Commissioner Office, équivalent de la CNIL au Royaume-Uni). En effet, en 2018, le vol de données financières de centaines de milliers de clients marque une prompte violation du RGPD.
Déçu de la décision de l’ICO, Alex Cruz, le PDG de British Airways, a déclaré : « British Airways a répondu rapidement à l’acte criminel du vol des données de ses clients. Aucune preuve d’activité frauduleuse sur les comptes touchés par ce vol n’a été trouvée ».
La commissaire de l’ICO, Elizabeth Denham a fait une déclaration. « Lorsqu’on vous confie des données personnelles, vous devez les protéger. Ceux qui ne le feront pas seront poursuivis ».
Les informations dérobées concernaient les noms, adresses postales, adresses e-mail et données bancaires des clients de la compagnie.
Cependant, depuis l’attaque, la compagnie aérienne a amélioré ses procédures de sécurité. Le montant initial de l’amende déposée par l’ICO représente 1,5 % du chiffre d’affaires annuel de British Airways pour 2017. L’ICO pourrait donc revoir à la baisse le montant de l’amende infligée à la compagnie aérienne.
Quasiment tout au long de l’année 2018, de juin à octobre, British Airways a communiqué sur la cyberattaque, liée à une faille informatique. La compagnie a également promis des compensations pour les voyageurs impactés.
Selon RiskIQ (entreprise de sécurité informatique américaine), l’équipe criminelle à l’origine de la cyberattaque serait le groupe « Magecart », impliqué dans l’affaire Ticketmaster.
