BA parvient à un règlement dans une action de groupe contre la violation de données

Une action collective contre British Airways (BA) suite à sa violation de données de septembre 2018 a été réglé de manière confidentielle à la suite d’une médiation entre les représentants légaux des demandeurs et la compagnie aérienne.

L’action de groupe a été menée par une équipe du cabinet d’avocats PGMBM, dirigée par le directeur juridique Tony Winterburn et l’associé Michael Burke, et constitue la plus grande ordonnance de groupe concernant les données personnelles dans l’histoire juridique du Royaume-Uni. L’action, en vertu du règlement général de l’Union européenne sur la protection des données (RGPD), visait à obtenir une indemnisation pour les dommages immatériels – désagrément, détresse, gêne et perte de contrôle des données personnelles.

La résolution réussie comprend une provision pour l’indemnisation des demandeurs admissibles qui se sont joints au litige, et n’inclut aucune admission de responsabilité par BA.

« Nous sommes très heureux d’être parvenus à une résolution sur cette question après une médiation constructive avec British Airways. Cela représente une solution extrêmement positive et opportune pour les personnes touchées par l’incident de données », a déclaré Harris Pogust, président de PGMBM.

« Le Commissariat à l’information a expliqué comment BA n’a pas pris les mesures adéquates pour protéger les informations personnelles et financières de ses passagers. Cependant, cela n’a pas fourni de réparation aux personnes touchées. Ce règlement répond maintenant à cela.

Révélé pour la première fois le 7 septembre 2018, la violation a compromis les informations personnelles et financières des clients ayant effectué des réservations et des modifications sur le site Web et l’application mobile de BA entre le 21 août et le 5 septembre.

À l’époque, BA a été félicitée pour sa réponse rapide et appropriée à l’incident conformément au nouveau règlement général sur la protection des données (RGPD), bien que l’enquête ultérieure du bureau du commissaire à l’information (ICO) ait abouti à l’imposition finale d’une amende de 20 millions de livres sterling, a fait valoir une baisse de 183 millions de livres sterling.

L’enquête de l’ICO a révélé que BA traitait des quantités importantes de données personnelles sans mesures de sécurité adéquates en place lorsqu’elle a été victime d’une attaque qu’il n’a pas compris l’importance de pour quelques temps.

Il a déclaré que BA aurait dû identifier les faiblesses de sa cyber posture et les corriger avec des mesures appropriées pour empêcher le succès de l’attaque.

Un porte-parole de BA a déclaré : « Nous nous sommes excusés auprès des clients qui pourraient avoir été affectés par ce problème et nous sommes ravis d’avoir pu régler l’action de groupe. Lorsque le problème est survenu, nous avons agi rapidement pour protéger et informer nos clients. »

En plus de ses travaux sur le dossier BA, PGMBM représente également un nombre croissant de demandeurs dans une action contre EasyJet, qui a connu une brèche similaire en 2020. Cet incident a vu les données de neuf millions de passagers compromises.

Pogust a déclaré que le rythme auquel l’action de BA a été résolue était « particulièrement encourageant » et a montré que le système juridique prenait au sérieux les violations de données à grande échelle.

« C’est un signe très positif alors que nous anticipons ce qui sera une affaire encore plus importante contre EasyJet concernant leur violation de données en 2020, ainsi que d’autres actions internationales similaires », a-t-il déclaré.