
L’enquête a révélé qu’un accès non autorisé au réseau Starwood avait eu lieu depuis 2014. La société a découvert par la suite qu’une entité non autorisée avait copié et chiffré des informations. Le 19 novembre 2018, Marriott a été en mesure de déchiffrer les informations et a déterminé que le contenu provenait de la base de données de réservations Starwood. La société n’a pas fini d’identifier les informations en double dans la base de données, mais a avancé qu’environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood sont concernées. Pour environ 327 millions de ces clients, les informations compromises sont entre autres un ensemble de nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations de compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication.
Pour certains, les informations incluent également les numéros de carte de paiement et les dates d'expiration, mais les numéros de carte de paiement ont été chiffrés à l'aide de l’algorithme Advanced Encryption Standard (AES-128). Pour les clients restants, les informations se limitaient au nom et parfois à d'autres données telles que l'adresse postale, l'adresse électronique ou d'autres informations. « Ce sont des données extrêmement intimes », a déclaré Edward Hasbrouck, écrivain spécialisé dans le tourisme et défenseur des droits des consommateurs, qui a longtemps mis en garde contre la sensibilité et la sécurité insuffisante des enregistrements de voyage informatisés.
L’ICO annonce son intention d’infliger une amende de 110 millions d’euros à Marriott
L'Information Commissioner's Office (ICO) est l’organisme public non ministériel au Royaume-Uni qui rend compte directement au Parlement et est financé par le Ministère de la Justice. À la suite d'une enquête approfondie, l'ICO a annoncé son intention d'infliger à Marriott International une amende de 99 200 396 £ (110 millions d’euros) pour infraction au règlement général sur la protection des données (RGPD).
Le montant de l'amende proposée concerne un cyber incident signalé par Marriott en novembre 2018 à l'ICO. Diverses données à caractère personnel contenues dans environ 339 millions de fichiers d'invités dans le monde ont été exposées, dont environ 30 millions concernent des résidents de 31 pays dans l'Espace économique européen (EEE). Sept millions concernent des résidents du Royaume-Uni.
L’ICO pense que l’exposition a commencé lorsque les systèmes du groupe hôtelier Starwood ont été compromis en 2014. Marriott a ensuite acquis Starwood en 2016, mais l'exposition d'informations sur les clients n'a pas été découverte avant 2018. L'enquête de l'ICO a révélé que Marriott n'avait pas exercé la diligence requise quand il a acheté Starwood et qu’il aurait également dû faire plus pour sécuriser ses systèmes.
La commissaire à l'information, Elizabeth Denham, a déclaré:
« Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu'elles détiennent. Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données à caractère personnel acquises, mais également la manière dont elles sont protégées.
« Les données personnelles ont une valeur réelle, de sorte que les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. Si cela ne se produit pas, nous n'hésiterons pas à prendre des mesures énergiques au besoin pour protéger les droits du public ».
Marriott a coopéré à l'enquête de l'ICO et a amélioré ses dispositions en matière de sécurité depuis la révélation de ces événements. La société aura désormais l’occasion de faire des déclarations à l’ICO sur les conclusions et sanctions proposées.
L'ICO a enquêté sur cette affaire en tant qu'autorité de contrôle principale pour le compte d'autorités de protection des données d'autres États membres de l'UE. Elle a également assuré la liaison avec d'autres régulateurs. En vertu des dispositions du « guichet unique » du RPGD, les autorités de protection des données de l'UE dont les résidents ont été affectés auront également la possibilité de commenter les conclusions de l'ICO.
La réaction de la chaîne hôtelière
« Nous sommes déçus de cette déclaration d’intention de l’ICO, que nous contesterons », a déclaré le directeur général de Marriott, Arne Sorenson, dans un communiqué.
L'amende de Marriott est l'une des plus importantes du gendarme britannique pour la protection des données, qui a proposé lundi une amende record de 183,4 millions de livres (203,72 millions d’euros) au propriétaire de British Airways IAG pour le vol de données de 500 000 clients sur son site Web l'année dernière.
Au mois de mars, au moins cinq États américains enquêtaient également sur l’infraction Marriott, rendant l’addition potentiellement encore plus salée pour le groupe hôtelier.
Source : déclaration de l'ICO
Voir aussi :



