L'ICO annonce son intention d'infliger une amende de 110 MM € à Marriott pour infraction au RGPD

Suite à un cyber incident signalé en novembre 2018

L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott pour infraction au RGPD,
suite à un cyber incident qui lui a été signalé en novembre 2018

Marriott International, Inc. est un groupe hôtelier américain spécialisé dans l'hôtellerie de luxe et est basé à Bethesda, dans le Maryland, aux États-Unis. Il comprend un portefeuille de plus de 6 700 établissements appartenant à 30 grandes marques hôtelières réparties dans 129 pays et territoires. En 2016, Marriott International a acheté Starwood, créant ainsi la plus grande chaîne d'hôtels. Les marques hôtelières Starwood comprennent les hôtels W, Sheraton, Le Méridien et Four Points by Sheraton. Les hôtels de marque Marriott utilisent un système de réservation distinct sur un réseau différent. Le 8 septembre 2018, Marriott a reçu une alerte d'un outil de sécurité interne concernant une tentative d'accès à la base de données de réservations Starwood aux États-Unis. Le groupe hôtelier a engagé des experts en sécurité pour déterminer ce qui se passait.

L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a découvert par la suite qu’une entité non autorisée avait copié et chiffré des informations. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais a avancé qu’environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood sont concernées. Pour environ 327 millions de ces clients, les informations compromises sont entre autres un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.

Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été chiffrés à l'aide de l’algorithme Advanced Encryption Standard (AES-128). Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.


L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott

L'Information Commissioner's Office (ICO) est l’organisme public non ministériel au Royaume-Uni qui rend compte directement au Parlement et est financé par le Ministère de la Justice. À la suite d'une enquête approfondie, l'ICO a annoncé son intention d'infliger à Marriott International une amende de 99 200 396 £ (110 millions d’euros) pour infraction au règlement général sur la protection des données (RGPD).

Le montant de l'amende proposée concerne un cyber incident signalé par Marriott en novembre 2018 à l'ICO. Diverses données à caractère personnel contenues dans environ 339 millions de fichiers d'invités dans le monde ont été exposées, dont environ 30 millions concernent des résidents de 31 pays dans l'Espace économique européen (EEE). Sept millions concernent des résidents du Royaume-Uni.

L’ICO pense que l’exposition a commencé lorsque les systèmes du groupe hôtelier Starwood ont été compromis en 2014. Marriott a ensuite acquis Starwood en 2016, mais l'exposition d'informations sur les clients n'a pas été découverte avant 2018. L'enquête de l'ICO a révélé que Marriott n'avait pas exercé la diligence requise quand il a acheté Starwood et qu’il aurait également dû faire plus pour sécuriser ses systèmes.


La commissaire à l'information, Elizabeth Denham, a déclaré:

« Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu'elles détiennent. Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données à caractère personnel acquises, mais également la manière dont elles sont protégées.

« Les données personnelles ont une valeur réelle, de sorte que les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. Si cela ne se produit pas, nous n'hésiterons pas à prendre des mesures énergiques au besoin pour protéger les droits du public ».

Marriott a coopéré à l'enquête de l'ICO et a amélioré ses dispositions en matière de sécurité depuis la révélation de ces événements. La société aura désormais l’occasion de faire des déclarations à l’ICO sur les conclusions et sanctions proposées.

L'ICO a enquêté sur cette affaire en tant qu'autorité de contrôle principale pour le compte d'autorités de protection des données d'autres États membres de l'UE. Elle a également assuré la liaison avec d'autres régulateurs. En vertu des dispositions du « guichet unique » du RPGD, les autorités de protection des données de l'UE dont les résidents ont été affectés auront également la possibilité de commenter les conclusions de l'ICO.

La réaction de la chaîne hôtelière

« Nous sommes déçus de cette déclaration d’intention de l’ICO, que nous contesterons », a déclaré le directeur général de Marriott, Arne Sorenson, dans un communiqué.

L'amende de Marriott est l'une des plus importantes du gendarme britannique pour la protection des données, qui a proposé lundi une amende record de 183,4 millions de livres (203,72 millions d’euros) au propriétaire de British Airways IAG pour le vol de données de 500 000 clients sur son site Web l'année dernière.

Au mois de mars, au moins cinq États américains enquêtaient également sur l’infraction Marriott, rendant l’addition potentiellement encore plus salée pour le groupe hôtelier.

Source : déclaration de l'ICO

Voir aussi :

Apple à nouveau sous le coup d'une enquête pour application du RGPD, l'intérêt étant de s'assurer du respect de la vie privée des clients
En application du RGPD, British Airlines risque une amende de 183 millions de livres suite au piratage de son site web de réservation
Le bilan du RGPD un an après, près de 145 000 plaintes et questions ont été enregistrées auprès des autorités responsables
La moitié des entreprises US n'étaient pas conformes au RGPD à son entrée en validité, il a fallu au moins six mois à certaines pour le devenir