L’autorité britannique de protection des données (ICO, Information Commissioner’s Office) a proposé une amende de 99 200 396 £ (123 705 870 $) pour la chaîne hôtelière internationale Marriott suite à la fuite de données de l’an dernier.
En novembre 2018, Marriott a révélé que des pirates informatiques avaient accédé à la base de données de réservations Starwood depuis 2014. Initialement, la société avait déclaré que les informations relatives à environ 500 millions de clients de l’hôtel avaient été dérobés, chiffre que la chaîne a corrigé à 383 millions à la suite d’une enquête plus approfondie.
Selon une évaluation post mortem du hack, les pirates informatiques ont volé:
383 millions d’enregistrements client
18,5 millions de numéros de passeport chiffrés
5,25 millions de numéros de passeport non chiffrés
9,1 millions de numéros de cartes de paiement chiffrées
385 000 numéros de carte encore valables au moment de l’incident
Les recours collectifs ont commencé à s’accumuler peu de temps après que Marriott ait annoncé sa breche de sécurité.
ICO: les pratiques de sécurité de Marriott violent le RGPD
À présent, l’ICO annonce vouloir infliger une amende à Marriott pour violation du règlement général de l’UE sur la protection des données (RGPD).
“Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu’elles détiennent. Cela peut inclure la mise en œuvre de mesures de vigilance appropriées lors d’une acquisition d’entreprise et la mise en place de mesures de responsabilisation appropriées pour évaluer non seulement les données personnelles acquises, mais aussi comment elles sont protégées “, a déclaré la commissaire à l’information, Elizabeth Denham.
“Les données personnelles ont une valeur réelle, de sorte que les entreprises ont l’obligation légale de garantir leur sécurité, comme elles le feraient avec n’importe quel autre actif. Si cela ne se produit pas, nous n’hésiterons pas à prendre des mesures radicales si nécessaire pour protéger les droits des utilisateurs “, a déclaré Denham.
Dans un document déposé aujourd’hui auprès de la US Securities Exchange Commission, Marriott a annoncé son intention de faire appel de l’amende imposée par l’ICO, lorsqu’elle sera officiellement déposée.
“Nous sommes déçus de cette déclaration d’intention de la part de l’ICO, que nous contesterons”, a déclaré le président et chef de la direction de Marriott International, Arne Sorenson.
“Nous regrettons profondément que cet incident se soit produit. Nous prenons très au sérieux la confidentialité et la sécurité des informations relatives aux clients et poursuivons nos efforts pour atteindre le niveau d’excellence attendu de nos clients par Marriott.
” Sorenson a déclaré que le Marriott avait mis fin au système de réservation Starwood compromis plus tôt cette année.
Il s’agit de la deuxième annonce de l’ICO concernant des projets d’amendes à une grande organisation pour violations du RGPD. L’ICO a annoncé hier son intention d’infliger à British Airways une amende de £ 183 millions ($ 230 millions) après que la société britannique n’ait pas protégé son site web. Celui-ci avait été infecté par un malware de vol d’information bancaire qui a collecté les informations de paiement des clients entre avril et juin 2018.
