En charge de la protection des données personnelles, l'Information Commissioner's Office (ICO) inflige une amende de 20 millions de livres (près de 22 millions d'euros) à la compagnie aérienne British Airways. L'autorité britannique sanctionne ainsi la fuite de données de 2018.

Lors d'une cyberattaque, un attaquant a potentiellement pu accéder aux données personnelles de plus de 429 000 clients et du personnel. Pour 244 000 clients de British Airways, il s'agissait de noms, adresses, numéros de cartes de paiement et codes de vérification des cartes.

Parmi les données compromises, il y a également eu les identifiants de comptes d'employés et d'administrateurs de British Airways.

L'ICO souligne que British Airways aurait pu utiliser de nombreuses mesures afin d'atténuer ou prévenir un tel risque et l'accès à son réseau informatique. La compagnie aérienne a en outre été prévenue de la fuite de données par un tiers, plus de deux mois après la cyberattaque.

" Leur inaction était inacceptable et a affecté des centaines de milliers de personnes. […] Nous avons infligé à British Airways une amende de 20 millions de livres, la plus importante à ce jour. Lorsque des organisations prennent de mauvaises décisions concernant les données personnelles des gens, cela peut avoir un réel impact sur leur vie ", écrit l'ICO.

L'amende aurait pu être plus salée pour British Airways. Elle a été réduite pour tenir compte de l'impact économique de la crise sanitaire du Covid-19 qui touche durement les compagnies aériennes.

Dans une réaction, British Airways rappelle avoir alerté ses clients immédiatement après avoir eu connaissance de la cyberattaque, et se dit heureux que l'ICO reconnaisse que " nous avons fait des progrès considérables dans la sécurité de nos systèmes depuis l'attaque et que nous avons pleinement collaboré à l'enquête. "