100 millions de livres, c’est le montant de l’amende à laquelle s’expose Marriott pour avoir échoué à sécuriser ses systèmes et à détecter une intrusion dans le réseau de Starwood, intrusion qui durait depuis 2014.
Le gendarme des données britannique prévoit d’infliger 183 millions de livres d’amende à British Airways, a-t-on appris en début de semaine. La compagnie aérienne est en effet accusée de manquements en termes de sécurité ayant mené au vol des données de millions de passagers, en infraction avec les dispositions du RGPD. Hier, c’est à une autre victime de piratage que l’ICO s’adressait : Marriott.
Le groupe hôtelier avait annoncé en fin d’année dernière avoir été victime d’une fuite de données. Etait concernée la base de données de réservation de la chaîne Starwood, rachetée en 2016 par Marriott et inflitrée par des hackers depuis 2014. Au total, ce sont 18,5 millions de numéros de passeport chiffrés et 5,25 millions de numéros de passeport non chiffrés qui sont tombés entre les mains des attaquants, ainsi que 9,1 millions de numéros de cartes de paiement chiffrés, dont environ 385000 n'étaient pas expirées en septembre 2018. Dans l’ensemble 30 millions de résidents de l’espace européen ont été affectés.
Fuites à répétition
L’ICO explique avoir mené son enquête et constaté que « Marriott n’avait pas fait preuve de la diligence requise lorsqu’il a racheté Starwood et qu’il aurait dû en faire plus pour sécuriser ses systèmes ». En conséquence de quoi le régulateur a notifié l’entreprise de son intention de lui infliger une amende de 100 millions de livres (99,2 millions exactement), là encore pour avoir enfreint les règles du nouveau cadre européen.
Notons que dans les deux cas, l’ICO a mené les enquêtes en tant qu'autorité de contrôle principale pour le compte des autorités de protection des données d'autres États membres de l'UE, et en lien avec elles. « En vertu des dispositions du "guichet unique" du RGPD, les autorités de protection des données de l'UE dont les résidents ont été affectés auront également la possibilité de commenter les conclusions de l’ICO » écrit le régulateur.