Recevez chaque jour toute l'actualité du numérique

x

Fuite de données : 500 000 livres d'amende pour la compagnie aérienne Cathay Pacific

L'équivalent anglais de la Cnil a infligé une amende de 500 000 livres à la compagnie aérienne Cathay Pacific pour la fuite de données personnelles de 9,4 millions de clients. L'entreprise hongkongaise aurait mal sécurisé son système informatique, faisant de ce dernier un véritable terrain de jeu pour les cybercriminels.    
Twitter Facebook Linkedin Flipboard Email
×

Fuite de données : 500 000 livres d'amende pour la compagnie aérienne Cathay Pacific
Fuite de données : 500 000 livres d'amende pour la compagnie aérienne Cathay Pacific © Cathay Pacific

L'Information Commissioner's Office (ICO) a condamné la compagnie aérienne hongkongaise Cathay Pacific à une amende de 500 000 livres (environ 576 000 euros) pour la fuite de données personnelles de 9,4 millions clients, dont 111 578 utilisateurs anglais.

 

L'équivalent anglais de la Commission nationale de l'informatique et des libertés (Cnil) estime que l'entreprise a failli à son obligation de sécurité. En effet, elle affirme avoir détecté de nombreuses failles de sécurité qui ont facilité l'accès à ces données. L'autorité explique, par exemple, que l'antivirus utilisé n'était pas du tout adéquat. "Lorsqu'elles fournissent des informations personnelles à une entreprise, les personnes s'attendent à juste titre à ce que leurs données soient en sécurité. Ce n'était pas du tout le cas en l'espèce", note Steve Eckersley, directeur des enquêtes de l'OIC.

 

430 numéros de carte de crédit

En octobre 2018, Cathay Pacific annonçait publiquement avoir subi une fuite de données suite à un accès non autorisé à certains de ses systèmes d'information. Ainsi les noms des passagers, les détails de leur passeport et de leur identité, leurs dates de naissance, leurs adresses postale et électronique, leurs numéros de téléphone et leurs historiques de voyage, ainsi que 430 numéros de carte de crédit avaient été exposés.

 

Une amende infligée sous l'ancienne législation

La compagnie aérienne a publié un communiqué dans lequel elle déclare avoir "étroitement coopéré avec l'ICO et d'autres autorités compétentes" et avoir renforcé sa sécurité informatique depuis l'incident. Elle se défend par ailleurs en affirmant qu'il n'y a encore aucune preuve à ce jour que les données exposées ont été utilisées.

 

Cathay Pacific s'en sort plutôt bien : si le montant infligé à l'entreprise est la peine maximale prévue par le "Data Protection Act" de 1998, cette législation a depuis été remplacée par le Règlement général sur la protection des données (RGPD). En raison du calendrier des violations, l'enquête reposait donc sur l'ancienne réglementation. Dans le cadre de la nouvelle législation, la sanction de Cathay Pacific aurait pu être largement supérieure, jusqu'à 4% de son chiffre d'affaires annuel mondial. En 2018, la compagnie affichait un chiffre d'affaires 111,1 HKD, soit près de 13 milliards d'euros.

 

Un précédent avec British Airways

Ce n'est pas la première fois que l'ICO sanctionne une compagnie aérienne. En juillet 2019, l'autorité anglaise a condamné British Airways au paiement d'une sanction de 183 millions de livres.

 

Cette amende faisait suite à un vol, commis en 2018, des données financières de centaines de milliers de clients de l'entreprise. "Les données personnelles des gens doivent le rester", avait déclaré à cette époque la commissaire de l'ICO Elizabeth Denham.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media