RGPD : Sanction de 20 millions d’euros au Royaume-Uni contre le groupe hôtelier Marriott

Le 30 octobre 2020, l'autorité de contrôle anglaise (Information Commissioner’s Office – ICO) a infligé une amende de 18,4 millions de livres sterling (environ 20,4 millions d'euros) à la société Marriott International Inc., basée aux Etats-Unis, pour manquement à la sécurité des données de millions de clients.

Cette sanction intervient après que la société Marriott a notifié à l’ICO une violation de données, conformément à l’article 33 du RGPD[1], imposant une telle notification lorsque la violation de données est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

 

Cette violation de données est en fait la suite d’une cyberattaque menée en 2014 contre la société Starwood Hotels and Resorts Wolrdwide Inc., qui n’a été détecté qu’en septembre 2018, après que la société ait été rachetée par la société Marriott en 2016.

Pour rappel, le RGPD énonce six principes de base devant être respectés lors du traitement de données personnelles, au nombre desquels figure la sécurité des données traitées (RGPD, Article 6).

A ce titre, l’article 32 du RGPD impose au responsable de traitement (ici la société Marriott), de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

En l’espèce, l’attaquant a installé un morceau de code sur un appareil du système Starwood, lui donnant la possibilité d'accéder et de modifier le contenu de cet appareil à distance. Cet accès a été exploité afin d'installer un logiciel malveillant, permettant à l'attaquant d'avoir un accès à distance au système en tant qu'utilisateur privilégié, ainsi que d'autres outils permettant de recueillir les identifiants de connexion d'autres utilisateurs au sein du réseau Starwood.

Grâce à ces identifiants, l'attaquant a pu accéder à la base de données stockant les données de réservation des clients de la société Starwood et l'exporter. Cette faille de sécurité a perduré après le rachat la société Starwood par la société Marriott.

Environ 339 millions de dossiers de clients dans le monde ont été exposés par l’incident de sécurité, dont près de 30 millions concernaient des résidents de l’Espace économique européen – 7 millions au Royaume-Uni – territoire sur lequel s’applique le RGPD.

Les données contenues dans ces dossiers diffèrent en fonction des personnes, mais incluent principalement les noms, adresses email, numéros de téléphone, numéros de passeport, informations sur le départ et l’arrivée, statut VIP et numéros de membre du programme de fidélité.

 

A noter : Les données de résidents de 31 pays européens étant concernées, la procédure de sanction a impliqué les autorités de contrôle de tous ces pays, avec pour autorité de contrôle chef de file l’ICO, suivant les dispositions des articles 56 et 60 du RGPD.

 

L’ICO reproche notamment à la société Marriott de ne pas avoir fait preuve de suffisamment de diligence lorsqu'elle a acheté la société Starwood et de ne pas avoir suffisamment sécuriser ses systèmes.

Ont été pris en compte dans la décision de l’ICO la pleine coopération à l’enquête de la société Marriott, la rapidité et l’efficacité des mesures prises pour atténuer les effets de la violation de données, mais également l’impact économique de la crise sanitaire actuelle liée à la pandémie de Covid-19 sur son activité.

En outre, bien que la cyberattaque date de 2014, la violation a été prise en compte à partir du 25 mai 2018, date d’entrée en application du RGPD.

 

Ainsi, la société Marriott a écopé d’une amende de plus de 20 millions d’euros.

Il s’agit de la seconde sanction prononcé par l’ICO sur le fondement du RGPD, après celle de British Airways du 16 octobre 2020, et surement une des seules avec le Brexit…

 

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

 

Par Clara Stefani, avocate.


Quoi

IT | IP | Data
• Sécurité et réseaux