RGPD : Plus de 110 millions d’euros de sanction pour les hôtels Marriott

24 heures après l’annonce d’une amende de plus de 200 millions d’euros à British Airways, l’Information Commissionner’s Office (ICO) britannique continue sur sa lancée : c’est au tour de la chaîne d’hôtels Marriott International de faire l’objet de ses foudres, avec une sanction annoncée de 99 millions de livres sterling (110 millions d’euros environ).

339 millions de clients touchés, dont 10 % en Europe

La sanction intervient en relation avec un incident notifié en novembre 2018 par l’entreprise, qui a vu les données personnelles d’environ 339 millions de ses clients exposées en ligne, dont environ 10 % résidaient dans des pays de l’Espace économique européen.

Malgré le montant élevé de la sanction annoncée, l’ICO a néanmoins tenu à noter l’attitude positive adoptée par Marriott International :

Marriott a coopéré avec l’enquête de l’ICO et a réalisé des améliorations à ses dispositifs de sécurité depuis la découverte de ces événements. L’entreprise va maintenant avoir l’occasion de faire des déclarations à l’ICO quant aux faits et à la sanction.

Une vulnérabilité “importée” par une société acquise en 2016

D’après la déclaration de l’ICO, confirmée par Marriott, la vulnérabilité à l’origine de l’incident est apparue sur le système d’information d’une de ses filiales, le groupe Starwood, en 2014. Starwood a été acquise par Marriott en 2016, sans que la faille n’ait été détectée dans le cadre des opérations de due diligence préalables à l’opération.

La chaîne hôtelière a immédiatement informé la Securities Exchange Commission (SEC), le régulateur américain des marchés, de la décision de l’ICO :

Nous regrettons profondément la survenance de cet incident. Nous prenons la confidentialité et la sécurité des données de nos hôtes très au sérieux et continuons à travailler dur pour atteindre le niveau d’excellence que nos hôtes attendent de Marriott.

Avec l’annonce de cette décision sur les talons de celle relative à British Airways, l’ICO a indiscutablement décidé de passer à la vitesse supérieure…

(Source : ICO)