| Par une décision du 16 octobre 2020, l’ICO – la « CNIL » anglaise – a condamné la compagnie aérienne British Airways à une amende s’élevant à 20 millions d’euros faute d’avoir mis en place des mesures de sécurité nécessaires et suffisantes pour la protection des données personnelles et financières de ses clients ainsi que de son personnel dont elle était le responsable de traitement.
Cette carence a conduit à ce que British Airways soit victime d’une cyberattaque massive en 2018 ayant notamment permis aux hackeurs d’accéder aux noms, adresses, informations de cartes bancaires de centaines de milliers de personnes. Ces derniers ont également pu pirater les identifiants et mots de passe des employés de British Airways. Pourtant, l’ICO relève que de nombreuses mesures de sécurité auraient facilement pu être prises par British Airways pour prévenir le risque d’une telle cyberattaque en effectuant, par exemple, des tests rigoureux, sous la forme de simulation d’une cyberattaque sur les systèmes de l’entreprise ou encore en protégeant les comptes des employés et des tiers par une authentification à plusieurs facteurs. Tous ces éléments justifient une sanction d’un tel montant. ICO, 16 octobre 2020 |
