L’ICO du Royaume-Uni abaisse l’amende pour violation de données de British Airways à 20 M £, après l’avoir initialement fixée à 184 M £ – TechCrunch


L’une des nombreuses failles de connaissances les plus importantes dans le passé historique des entreprises britanniques a été fermée par les régulateurs non pas avec un bang, mais un gémissement – à cause de Covid-19. Immédiatement, le Data Commissioner’s Workplace, l’organisme de surveillance britannique des connaissances, a annoncé qu’il allait infliger une amende de 20 millions de livres à British Airways pour une violation de données au cours de laquelle les informations non publiques de plus de 400000 prospects ont été divulguées après que BA a subi une cyberattaque de deux mois et manquait de sécurité suffisante pour détecter et se défendre contre lui. Il avait initialement délibéré de positif BA près de 184 millions de livres sterling, mais il a diminué la pénalité en raison de l’influence financière que BA (comme différentes voies aériennes) a dû affronter à cause de Covid-19.

Le pas le plus important dans le positif souligne le type d’influence que la pandémie de coronavirus a sur les règles. Dans certaines circonstances, afin de gérer plus rapidement les points qui influencent sans aucun doute le développement de l’entreprise, nous avons vu des régulateurs tenter d’accélérer leur réactivité et même de se retirer de certaines réserves antérieures à des actions légères inexpérimentées, comme dans le cas des scooters électroniques.

Cependant, dans le cas du BA positif, nous voyons la facette opposée de l’influence de Covid-19: les régulateurs adoptent une ligne beaucoup moins épuisante avec des sanctions pour les entreprises qui pourraient déjà être en difficulté. Cela soulève des questions quant à l’impact de leurs sélections et à quel point elles créent un précédent pour la future négligence en matière de sécurité et de connaissances.

Même avec la réduction de la dimension des pénalités, l’ICO s’en tient à ses conclusions authentiques:

«Les particuliers ont confié leurs données personnelles à BA et BA n’a pas pris de mesures suffisantes pour assurer la sécurité de ces renseignements», a déclaré la commissaire aux données Elizabeth Denham dans un communiqué. «Leur incapacité à se comporter était inacceptable et affectait un grand nombre de milliers de personnes, ce qui peut avoir provoqué une certaine anxiété et de la misère à cause de cela. C’est pourquoi nous avons maintenant émis BA avec un positif de 20 millions de livres sterling – notre plus important à ce jour. Lorsque les organisations prennent de mauvaises sélections autour des connaissances privées des gens, cela peut avoir une influence réelle sur la vie des gens. Le règlement nous fournit désormais les instruments pour encourager les entreprises à faire des sélections plus poussées en matière de connaissances, tout en investissant dans une sécurité à jour. »

Le positif est le niveau le plus élevé jamais atteint par l’ICO. Cependant, c’est une sérieuse étape par rapport à la pénalité de 184 millions de livres sterling – 1,5% des revenus de BA au cours de l’année civile 2018 – que le régulateur avait initialement fixée l’année dernière. C’était, après tout, avant que la pandémie de coronavirus ne frappe, interrompant le voyage dans le monde et mettant de nombreuses voies respiratoires à genoux. L’ordre unique passait par une stratégie d’attraction, qui comprenait une évaluation de l’état de l’entreprise au sein du marché actuel.

«En juin 2019, l’ICO a émis BA avec une découverte d’intention positive», célèbre l’ICO dans son affirmation sur la diminution du positif. «Dans le cadre du processus réglementaire de l’OIC, une réflexion sur chaque représentation de BA et l’influence financière du COVID-19 sur leur entreprise avant de fixer une pénalité restante.

Les principales informations sur les conclusions de l’enquête sont restées les mêmes: l’ICO avait décidé que BA avait des «faiblesses dans sa sécurité» qui auraient pu être évitées grâce à des programmes de sécurité – procédures et logiciel – qui existaient à ce moment-là.

Pour cette raison, les connaissances de 429612 prospects et travailleurs ont été divulguées, ainsi que «les noms, adresses, numéros de carte de coût et numéros CVV de 244000 prospects BA», a déclaré l’ICO, y compris que les numéros de carte et CVV mixtes de 77000 prospects et numéros de carte on pense que 108000 prospects seulement font partie de la violation, en plus des noms d’utilisateur et des mots de passe des comptes de travailleur et d’administrateur de BA, ainsi que des noms d’utilisateur et des codes PIN de jusqu’à 612 comptes d’adhésion au gouvernement de la BA (ces deux derniers ont également été pas tout à fait vérifié, semble-t-il).

Sur le coup, BA n’a en aucun cas détecté l’agression, il a déclaré: il a été informé de la violation par un 3e rassemblement social.

L’ICO a déclaré que sa motion avait été accréditée par différentes DPA au sein de l’Union européenne: c’est parce que l’agression a eu lieu alors que le Royaume-Uni était toujours dans l’UE, et que l’enquête a donc été menée par l’OIC au nom des autorités de l’UE, a-t-il déclaré. .