EasyJet : action collective pour un montant de plus de 20 milliards d’euros pour vol de données contre la compagnie aérienne

La compagnie aérienne low cost EasyJet fait face à une action collective qui pourrait lui couter 18 milliards de livres sterling (plus de 20 milliards d’euros) au nom de clients touchés par un vol de données divulguée le 19 mai dernier.

EasyJet a déclaré que des informations appartenant à neuf millions de clients pourraient avoir été exposées lors d’une cyber-attaque, dont plus de 2 200 dossiers de cartes de crédit.

L’agresseur, dont l’action est qualifiée de “hautement sophistiqué”, a réussi à accéder à ces informations financières, ainsi qu’à des adresses électroniques et à des informations de voyage. EasyJet continue de contacter les voyageurs concernés afin de tenter de faire face à la situation.

publicité

“L’accès non autorisé” a été “fermé”

Le transporteur aérien n’a pas expliqué comment ni quand exactement la violation des données a eu lieu. Il a simplement précisé que “l’accès non autorisé” à son système d’information a été “fermé”.

Le Centre national de cybersécurité (NCSC) et le Bureau du commissaire à l’information du Royaume-Uni (ICO) ont été notifiés, ce dernier ayant le pouvoir d’imposer de lourdes amendes au titre du RGPD si une enquête révèle que le transporteur aérien a fait preuve de laxisme en matière de protection et de sécurité des données de ses clients.

L’année dernière, British Airways a fait l’objet d’une “notification d’intention” déposée par l’ICO afin d’infliger une amende à la compagnie aérienne 183,4 millions de livres sterling pour ne pas avoir protégé les données de 500 000 clients lors d’un vol de données survenu en 2018.

“La divulgation de détails sur les habitudes de voyage des individus constitue une atteinte flagrante à la vie privée”

Cependant, EasyJet a un problème juridique plus immédiat. Le cabinet d’avocats PGMBM a émis une action collective avec une responsabilité potentielle de 18 milliards de livres, ou jusqu’à 2 000 livres par client concerné, réclamée à la compagnie aérienne.

La poursuite a été déposée devant la High Court de Londres au nom des clients. Selon l’entreprise, la violation des données d’EasyJet a eu lieu en janvier 2020, et si l’ICO a apparemment été informée à ce moment-là, les clients n’ont été informés que quatre mois plus tard.

“Les données personnelles sensibles divulguées comprennent les noms complets, les adresses électroniques et les données de voyage, notamment les dates de départ, d’arrivée et de réservation”, indique PGMBM. “La divulgation de détails sur les habitudes de voyage personnelles des individus peut poser des risques de sécurité pour les personnes et constitue une atteinte flagrante à la vie privée”.

Le recours collectif s’appuie sur la législation du RGPD qui donne aux clients le droit de réclamer un dédommagement lorsque leurs informations sont compromises lors d’incidents de sécurité.

Tom Goodhead, associé de PGMBM, a déclaré que la violation “monumentale” des données est un “terrible manquement à la responsabilité, et a un impact sérieux sur les clients d’EasyJet”. EasyJet a déclaré à ZDNet que la société “ne fera aucun commentaire sur cette affaire”.

Le dernier Data Breach Investigation Report de Verizon souligne qu’un facteur commun aux violations de données est la mauvaise configuration des dépôts et des espaces de stockage dans le cloud.

En outre, selon Verizon, les erreurs de configuration sont aujourd’hui une tendance croissante des violations de données, à côté des variantes de logiciels malveillants, notamment les scrapers, l’utilisation d’identifiants volés et le phishing.

Leave a Reply

Your email address will not be published. Required fields are marked *