L’application du RGPD dans le secteur aérien : le risque de sanctions plane sur les compagnies aériennes

Le 8 juillet dernier, l’autorité de protection des données du Royaume-Uni (l’ICO), l’équivalent de la CNIL en France, a annoncé son intention d’imposer à la compagnie aérienne British Airways une amende de plus de 200 millions d’euros (183,39 millions de livres sterling) pour violation des données personnelles d’environ 500 000 passagers.

C’est l’occasion de faire un point sur les données collectées par les compagnies aériennes et sur l’importance que porte le Règlement Général sur la Protection des Données (le RGPD) sur la sécurité de ces dernières.

QUELLES DONNÉES PERSONNELLES DÉTIENNENT LES COMPAGNIES AÉRIENNES ?

En Europe et pour chaque vol, les compagnies aériennes ont l’obligation de collecter un certain nombre de données relatives aux passagers, appelées données PNR (Passenger Name Record). Ces données permettent d’alimenter le système API-PNR, fichier de contrôle des déplacements aériens, utilisé notamment pour la lutte contre le terrorisme ou le trafic de drogues.
L’étendue des données PNR est particulièrement large. Elles comportent en effet le nom, l’adresse et les coordonnées du passager, mais aussi les dates du voyage, le numéro de siège, l’itinéraire, les données concernant les bagages, le moyen de paiement utilisé (y compris l’adresse de facturation), les programmes de fidélité, ainsi que les données API (Advanced Passenger Information).

Les données API, quant à elles, sont des données relatives à la nationalité, nom, prénom, date de naissance, sexe du passager, les informations présentes sur les passeports, le vol emprunté ainsi que d’autres informations concernant le passager (numéro de siège, identification des bagages, etc.).

Lors de la réservation, les compagnies aériennes sont également susceptibles de collecter des données sensibles liées à la santé des passagers, à savoir des données concernant des allergies ou intolérances alimentaires, la nécessité d’aménagements pour le transport des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôles d’accès. Des données relatives aux convictions religieuses ou philosophiques sont également potentiellement traitées du fait d’un régime alimentaire spécifique en raison de convictions.

Le traitement de ces données personnelles (parfois sensibles) est soumis au RGPD. Ainsi, la collecte et le stockage de ces données doivent être encadrés et respecter les critères de licéité de l’article 5 du RGPD, dans lequelle figure l’obligation de garantir une sécurité appropriée des données à caractère personnel.

Ainsi, au vu de l’étendue et de la nature des données collectées, les compagnies aériennes ont un devoir de sécuriser les données personnelles de leurs passagers afin de garantir le respect du droit fondamental à la vie privée.

EXEMPLE D’UN MANQUEMENT AU DEVOIR DE SÉCURITÉ : LE VOL DE DONNÉES DE BRITISH AIRWAYS

Selon l’ICO, les données des passagers de British Airways ont été compromises en raison de l’interception et du détournement de données bancaires suite à l’injection d’un cheval de Troie sur les serveurs de la compagnie. En effet, les visiteurs du site internet de British Airways ont été redirigés sur un site frauduleux semblable à celui de la compagnie aérienne, avec un nom de domaine imitant celui de British Airways, sur lequel ils ont renseigné leurs informations personnelles, à savoir coordonnées, identifiants et mots de passe, moyens de paiement.

En 2018, British Airways a notifié l’ICO de cette violation de données, conformément à la procédure de l’article 33 du RGPD. La compagnie a ensuite coopéré avec l’ICO pour résoudre ce problème et a depuis amélioré ses procédures de sécurité.

Une négociation du montant de la sanction est aujourd’hui en cours, et British Airways n’exclut pas l’hypothèse de faire appel. Rappelons que la compagnie risquait, pour une telle infraction du RGPD, à une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires, qui s’élevait à 11,6 milliards de livres sterling l’année dernière. Ainsi, British Airways risquait une amende de plus de 500 millions d’euros.

L’ICO ne s’est pas arrêtée là. Dans la même semaine, l’autorité a confirmé son intention d’infliger une amende de 111 millions d’euros au groupe d’hôtellerie Marriott International concernant le vol de 330 millions de données suite à un grave piratage informatique.

Plus largement, l’affaire British Airways nous rappelle que la correction des vulnérabilités d’un site internet ou d’une application mobile est une mesure essentielle de sécurité. Une fois encore, l’actualité nous prouve que la conformité au RGPD ne peut se concevoir sans la mise en place de mesures de sécurité adaptées aux risques pour les droits et libertés des personnes[1].

[1] https://www.linkedin.com/pulse/gdpr-les-entreprises-sous-estiment-le-ris…