British Airways indemnisera financièrement les clients dont les données de carte bancaire ont été volées lors d'un piratage "sophistiqué" et "malveillant", a déclaré vendredi le directeur général Alex Cruz en s'excusant pour le fiasco.

BA jeudi soir a révélé que les détails personnels et financiers d'environ 380, Les milliers de clients ayant réservé des vols sur le site Internet et l'application mobile du groupe entre le 21 août et mercredi ont été volés.

La révélation intervient quelques mois seulement après que l'Union européenne a renforcé les lois sur la protection des données avec le soi-disant Règlement général sur la protection des données (RGPD).

"Nous sommes extrêmement désolés pour ce qui s'est passé, " Cruz a déclaré vendredi à la BBC.

"Il y avait un très sophistiqué, mal intentionné, attaque criminelle sur notre site Web."

Vendredi, BA a publié des annonces pleine page dans les journaux britanniques pour s'excuser auprès des clients, tandis que le cours de l'action de la société mère IAG a baissé de plus de trois pour cent lors des transactions à Londres.

« Nous nous engageons à 100 % à les dédommager, " dit Cruz.

« Nous les indemniserons pour toutes les difficultés financières qu'ils auraient pu subir, ", a-t-il déclaré au diffuseur.

BA a déclaré avoir lancé une enquête urgente après s'être rendu compte que les cartes bancaires utilisées pour réserver ses vols avaient été piratées.

Les données volées comprenaient des noms de clients, adresses postales, adresses e-mail et informations de carte de crédit.

Cependant, la violation de 15 jours n'impliquait pas les détails du voyage ou du passeport et a été corrigée, a ajouté la compagnie aérienne.

Les régulateurs enquêtent

"Au moment où nous avons découvert (mercredi) que les données réelles des clients avaient été compromises, c'est alors que nous avons commencé une communication immédiate avec nos clients. C'était notre priorité, " dit Cruz.

Cependant Enza Iannopollo, analyste de la confidentialité et de la sécurité au sein du groupe consultatif Forrester, a déclaré que BA aurait pu mieux faire pour informer les personnes concernées.

"Si le calendrier est confirmé et que BA a pris connaissance de la violation le soir du 5 septembre, alors ils ont fait leur notification de violation à temps, ce qui est bien sûr une bonne chose, ", a-t-elle déclaré dans un communiqué.

"Toutefois, les clients ne sont évidemment pas impressionnés par la gestion des violations de BA à l'heure actuelle. Certains l'ont découvert sur les réseaux sociaux, d'autres ont déclaré avoir perdu des heures au téléphone avec leur banque, tout le monde attend plus d'une entreprise qui se soucie vraiment de ses clients."

"Trouble gestion de la situation, " a tweeté un client concerné, Mat Thomas.

Iannopollo a déclaré à l'AFP qu'il était trop tôt pour savoir si BA serait condamné à une amende pour cette affaire.

"Les régulateurs évalueront les circonstances de cette violation conformément aux exigences du RGPD" entrées en vigueur en mai.

La National Crime Agency britannique a déclaré qu'elle évaluait la question, tandis que le chien de garde du Royaume-Uni pour la protection des données, le Commissariat à l'information, fera ses propres recherches.

"L'ICO fera son évaluation et enquête pour déterminer s'il faut imposer une amende ou imposer des mesures coercitives, mais cela prendra un certain temps et il se peut que le régulateur détermine que les règles n'ont pas été enfreintes, " a déclaré Iannopollo.

Vers 11h00 GMT, actions IAG, qui exploite également les compagnies espagnoles Iberia et Vueling ainsi que la compagnie aérienne irlandaise Aer Lingus, étaient en baisse de 3,5% à 657,60 pence sur l'indice de référence FTSE 100 de Londres, en baisse de 0,8% dans l'ensemble.

« Les nouvelles d'aujourd'hui rappellent à quel point la cybersécurité reste un problème brûlant et l'importance pour les entreprises de disposer des protections appropriées pour atténuer le risque posé par les attaques, " a noté Russ Mould, directeur des investissements chez AJ Bell.

Le RGPD établit quant à lui le principe clé selon lequel les individus doivent explicitement autoriser l'utilisation de leurs données.

Les arguments en faveur des nouvelles règles avaient été renforcés par un scandale concernant la récolte des données des utilisateurs de Facebook par Cambridge Analytica, un cabinet d'études politiques américano-britannique, pour l'élection présidentielle américaine de 2016.

© 2018 AFP