L’ICO (Information Commissioner’s Office), le régulateur britannique de protection des données personnelles, a annoncé dans la même semaine son intention de sanctionner la compagnie aérienne British Airways ainsi que le groupe hôtelier Marriott pour manquement au Règlement Général de l’UE sur la Protection des Données (RGPD).
Les deux entreprises ayant fait l’objet de cyberattaques en 2018, l’ICO considère que leurs pratiques de sécurité violent le RGPD et sont la cause de telles failles de sécurité.
S’agissant de British Airways, l’ICO a estimé qu’environ 500 000 clients avaient vu leurs données « compromises » lors d’un incident qui a démarré en juin 2018 et qui est attribué à « de mauvais systèmes de sécurité dans l’entreprise ». Lors de cette cyberattaque, des numéros de cartes bancaires ainsi que leur date d’expiration avaient notamment fuités. L’ICO a annoncé le 8 juillet 2019 son intention d’infliger une amende équivalente à environ 204 millions d’euros (quatre fois le montant record de la CNIL contre Google !) à IAG, maison mère de la compagnie aérienne.