Publié le 8 juil. 2019 à 11:32 Mis à jour le 8 juil. 2019 à 18:40

« Les données personnelles des gens doivent le rester ». Le gendarme britannique des données personnelles (Information Commissioner's Office ou ICO) n'a pas mâché ses mots, lundi, en proposant d'infliger à British Airways l'amende la plus lourde qu'il ait jamais prononcée, à 183 millions de livres (204 millions d'euros), après le vol de données qui a affecté des centaines de milliers de ses clients l'an dernier.

« Lorsqu'on vous confie des données personnelles, vous devez les protéger, a souligné la commissaire de l'ICO, Elizabeth Denham. Ceux qui ne le feront pas seront poursuivis par l'ICO pour vérifier qu'ils ont pris les mesures adéquates », a-t-elle ajouté. Le régulateur a considéré « au terme d'une enquête approfondie » que la compagnie aérienne avait mis en place de « mauvais systèmes de sécurité ». British Airways a vingt-huit jours pour contester le projet de sanction du régulateur, qui devra confirmer l'amende et son montant début août.

La compagnie avait révélé début septembre 2018 avoir subi une cyberattaque , suite à une faille informatique. Elle avait alors indiqué que 380.000 comptes avaient été affectés entre le 21 août et le 5 septembre. Les données personnelles dérobées portaient sur le nom, l'adresse postale et e-mail des clients et surtout les données de cartes bancaires _ à savoir le numéro, la date d'expiration et le code sécurisé à trois chiffres. Fin octobre 2018, elle avait reconnu que 185.000 clients supplémentaires s'étaient fait dérober leurs données financières entre le 21 avril et le 28 juillet, soit plus de 500.000 au total.

1,5 % de son chiffre d'affaires

Le montant de l'amende record proposé par l'ICO représente 1,5 % du chiffre d'affaires annuel de British Airways en 2017. Le règlement européen sur la protection des données permet désormais au régulateur britannique de prononcer des amendes allant jusqu'à 4 % du chiffre d'affaires. Avant son adoption fin mai 2018, il ne pouvait aller que jusqu'à 500.000 livres (557.705,00 euros). Il avait ainsi infligé une amende de ce montant l'an dernier à Facebook, à l'occasion de l'affaire Cambridge Analytica .

« Nous sommes surpris et déçus », a réagi le PDG de British Airways, Alex Cruz. « British Airways a répondu rapidement à l'acte criminel du vol des données de ses clients. Nous n'avons trouvé aucune preuve d'activité frauduleuse sur les comptes touchés par ce vol ». La compagnie avait promis en septembre des compensations pour les voyageurs financièrement lésés.

Willie Walsh, directeur général d'International Airlines Group (IAG), maison mère du groupe, a d'ores et déjà annoncé son intention de négocier avec l'ICO, et si nécessaire de faire appel de la décision.

Ce vol de données, néfaste pour la crédibilité du transporteur, avait d'autant plus inquiété que la compagnie n'en était pas à son premier problème informatique : une panne géante avait touché ses systèmes en mai 2017 en raison d'un problème d'alimentation électrique.