RGPD : Marriott encourt une amende de 99 millions £

Le « Information Commissioner’s Office » (ICO) - l’équivalent de la CNIL au Royaume-Uni - a fait part de son intention d'infliger une amende de 99.200.396 £ à la chaîne d'hôtels Marriott International pour violation du Règlement général sur la protection des données (RGPD ou en anglais GDPR). 

Cette nouvelle survient un jour après que l'ICO a annoncé sa décision d'infliger à British Airways une autre amende, de 183,39 millions de livres sterling, celle-ci pour une fuite de données signalée en septembre 2018 (le signalement étant devenu obligatoire dans le cadre du RGPD). Ces deux sanctions pourraient bien être les premières d'une longue série liée à des infractions au règlement européen. 

L’amende proposée contre Marriott concerne une fuite de données signalée à l'ICO par la chaîne en novembre 2018. Une brèche d’un système informatique a permis à de faire fuiter les données personnelles contenues dans environ 339 millions de dossiers de clients dans le monde. Environ 30 millions concernent des résidents des pays de l'Espace économique européen. 

A l’origine de l’affaire, les systèmes de réservation du groupe hôtelier Starwood auraient été compromis dès 2014. Marriott a par la suite acquis Starwood en 2016, avec sa brèche. Mais ce n'est qu'en 2018 que la fuite de renseignements sur les clients a été découverte. 

L'enquête de l'ICO a révélé que Marriott n'avait pas rempli son obligation de vigilance (« due diligence ») lorsqu'elle a racheté Starwood et qu'elle aurait dû en faire davantage pour sécuriser ses systèmes. 

La responsable de l’ICO, Elizabeth Denham, a rappelé que le GDPR indique clairement que les organisations doivent être responsables des données personnelles qu'elles ont en leur possession. 

« Il peut s'agir notamment de faire preuve de “due diligence” lors de l'acquisition d'une entreprise et de mettre en place des mesures appropriées pour évaluer non seulement les données personnelles que l’on rachète, mais aussi la façon dont elles sont protégées », a-t-elle ajouté. 

« Les données personnelles ont une valeur réelle, les organisations ont donc l'obligation légale d'en assurer la sécurité, tout comme elles le feraient pour tout autre bien. Si ce n'est pas le cas, nous n'hésiterons pas à prendre des mesures énergiques, au besoin, pour protéger les droits du public ». 

L'ICO a par ailleurs fait savoir que Marriott avait coopéré à l'enquête et avait apporté des améliorations à ses dispositifs de sécurité depuis que l'incident a été découvert. 

Comme British Airways, Marriott a 28 jours pour présenter des observations à l'ICO au sujet des conclusions de l'enquête et faire appel de l'amende. Marriott a d’ores et déjà indiqué qu'il avait l'intention de le faire. 

L'ICO a enquêté sur cette affaire en tant qu'autorité de contrôle principale pour le compte d'autres autorités de protection des données des États membres de l'UE. Elle a également assuré la liaison avec d'autres organismes de réglementation.

En vertu des dispositions dites du « guichet unique » du GDPR, les autorités chargées de la protection des données dans l'UE dont les résidents ont été affectés, auront également la possibilité de commenter les conclusions de l'ICO. 

L'ICO a déclaré qu'elle examinerait attentivement les retours faits par la société et les autres autorités de protection des données avant de rendre sa décision finale. 

Lorsque la brèche a été rendue publique, Marriott s’est vue reprocher d'avoir mis deux ans à découvrir la faille dans les systèmes qu’il avait acquis. La chaine d’hôtel est également critiquée pour avoir mis 20 jours à alerter les personnes concernées par la fuite. 

A l’opposé, la rapidité avec laquelle British Airways a réagi à l'incident a été saluée par les commentateurs de la sécurité et constituera probablement un élément clé de l'appel interjeté par la compagnie contre l'amende.