L’autorité de contrôle britannique en matière de protection des données (« ICO ») a prononcé une amende de plusieurs millions de livres à l’encontre du groupe hôtelier Mariott, à la suite d’une atteinte à l’obligation de sécurité des données.
En 2014, le système de traitement de l’information de la société hôtelière Starwood avait fait l’objet (avant d’être rachetée en 2016 par Mariott) d’une attaque informatique de nature inconnue, qui avait permis à l’attaquant de disposer d’un accès durable aux données à caractère personnel de cette société.
Entre 2016 et 2018, les données à caractère personnel relatives à 339 millions de compte clients Starwood ont fait l’objet d’accès frauduleux.
En 2018, en tentant d’accéder aux données relatives aux cartes bancaires, l’attaquant avait déclenché une alerte, ce qui avait permis à Mariott de prendre connaissance de l’attaque et d’y mettre un terme.
Mariott a notifié l’attaque à l’ICO le 22 novembre 2018, ce qui a déclenché une enquête de l’autorité de contrôle britannique. Cette dernière a, dans cette affaire, endossé le rôle d’autorité chef de file et a soumis son projet de décisions aux autres autorités de contrôle concernées.
Après investigations, l’ICO a reproché à Mariott d’avoir manqué à son obligation de sécurité des données. En particulier, Mariott aurait dû mettre en œuvre des mesures permettant d’identifier les violations de données et de prévenir les accès frauduleux, notamment en surveillant l’activité des utilisateurs du système d’information.
L’ICO a, en conséquence, par une décision du 30 octobre 2020, décidé de prononcer une amende de 18,4 millions de livres à l’encontre de Mariott.
Les éléments suivants ont été pris en compte dans la détermination du montant de cette amende :
- le nombre particulièrement élevé de personnes concernées ;
- les conséquences de ce manquement sur les personnes concernées, notamment en terme d’anxiété ;
- la durée de l’accès frauduleux ;
- le degré de coopération dont a fait preuve Mariott, le fait qu’elle ait notifié la violation et qu’elle n’ait pas commis de précédent manquement ;
- l’impact de la crise sanitaire liée à la Covid-19 sur Mariott.
Lien vers la publication de la CNIL sur le sujet : https://www.cnil.fr/fr/cybersecurite-ico-en-cooperation-avec-la-cnil-inflige-amendes-record
Lien vers la publication de l’ICO : https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/