Recevez chaque jour toute l'actualité du numérique

x

Marriott écope d'une amende de 20 millions d'euros pour avoir mal protégé les données de ses clients

Les données personnelles de 339 millions de comptes clients de Marriott ont été dérobées par des hackers entre 2014 et 2018 via un outil de réservation. Pour ne pas avoir suffisamment protégé son système, le groupe hôtelier vient d'être condamné à une amende de 20 millions d'euros par la Cnil britannique.  
Twitter Facebook Linkedin Flipboard Email
×

Marriott écope d'une amende de 20 millions d'euros pour avoir mal protégé les données de ses clients
Marriott écope d'une amende de 20 millions d'euros pour avoir mal protégé les données de ses clients © Marriott (Facebook)

L'Information Commissioner's Office (ICO) – l'équivalent de la Cnil au Royaume-Uni – a infligé une amende de 18,4 millions de livres sterling (environ 20 millions d'euros) à Marriott, à la suite d'une violation de données ayant rendu accessibles à des tiers de très nombreuses données personnelles.

339 comptes clients piratés
Le groupe hôtelier estime que 339 millions de comptes clients – contenant les noms, prénoms, emails et numéros de passeport – ont été touchés par une cyberattaque intervenue entre 2014 et 2018. 30 millions de comptes européens étaient concernés, dont 7 millions appartenaient à des ressortissants britanniques.

Entre juillet 2014 et septembre 2018, des hackers ont réussi à se procurer une grande quantité de données via l’outil de gestion des réservations de Starwood Hotels & Resorts, l’une des filiales les plus importantes du groupe Marriott.

Marriott n'a pas suffisamment protégé les données
L'enquête a révélé que "Marriott n'avait pas mis en place les mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées dans ses systèmes, comme l'exige le Règlement général sur la protection des données", révèle l'ICO dans sa décision.

"Les données à caractère personnel sont précieuses et les entreprises doivent en prendre soin. Les données de millions de personnes ont été affectées par la défaillance du Marriott ; des milliers ont contacté une ligne d'assistance et d'autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que l'entreprise à laquelle ils faisaient confiance ne l'avait pas fait", a déclaré Elizabeth Denham, responsable de l'ICO.

Comme la violation s'est produite avant que le Royaume-Uni ne quitte l'Union européenne, la Cnil britannique a enquêté au nom de toutes les autorités européennes de protection des données en tant que principale autorité de surveillance.

La sanction a été collectivement validée
Ainsi, la procédure et la sanction ont été approuvées par l'ensemble des Cnil de l'UE dans le cadre du processus de coopération prévu par le RGPD. Une information confirmée par la Cnil.

"Après des échanges fructueux avec l’ICO, son homologue britannique, la Cnil a approuvé les projets tant s’agissant des manquements retenus que des montants des amendes proposées. Elle a notamment estimé que ces montants substantiels et les plus élevés à ce jour en matière de sécurité étaient proportionnés au regard de la gravité des manquements constatés", peut-il dans un communiqué de l'agence française.

Il y a quelques semaines, c'est la compagnie aérienne British Airways qui a été condamnée par l'ICO à une amende de 22 millions d'euros pour un vol de données personnelles intervenu en 2018.  A l'origine, le montant de la sanction avait été fixé à 184 millions de livres sterling, soit environ 202 millions d'euros. Or, les difficultés financières de l'entreprise dues en partie à la crise sanitaire justifient cette réduction de 180 millions d'euros, d'après l'ICO.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media