Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : Marriott risque une sanction de 110 millions d’euros

Petit dej' non compris
Droit 4 min
RGPD : Marriott risque une sanction de 110 millions d’euros
Crédits : AndreyPopov/iStock

Après British Airways, le groupe Marriott est dans le viseur de la CNIL britannique. Celle-ci envisage de lui infliger une sanction de 110 millions d’euros pour une brèche de sécurité restée béante quatre ans durant.

L’Information Commissioner’s Office (ICO) a menacé cette semaine British Airways d’une sanction monstre de 200 millions d’euros pour violation du Règlement général sur la protection des données personnelles (RGPD).

En cause, une faille qui a permis à un tiers de prendre la main sur les données de 500 000 clients. Le montant n’est pas encore totalement fixé, puisque l’entreprise devra défendre sa cause devant l’ICO. Dernière étape avant le couperet final.

Une nouvelle affaire, avec un montant conséquent, est sur la rampe. Marriott International a alerté hier la Securities and Exchange Commission que la même CNIL britannique envisageait de lui infliger une sanction de 110 millions d’euros (£99,200,396). 

Les faits remontent au 30 novembre 2018, six mois après l’entrée en application du RGPD. La chaîne annonçait alors un « incident de sécurité » impliquant la base de réservation de sa chaîne Starwood. Le 10 septembre 2018, l’entreprise a détecté en effet un accès non autorisé à ces informations. Mieux, un tiers a pu copier et chiffrer une partie d’entre elles.

Selon les estimations, l’incident a frappé environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pourquoi autant de monde ?

Tout simplement parce que la brèche était béante depuis… 2014 et que derrière Starwood, on trouve des géants comme W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ou encore Design Hotels.

Du devoir de collaboration...

« Pour environ 327 millions d’entre eux, ces informations incluent nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations sur le compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication ».

« Pour certains, elles comprennent les numéros de carte de paiement et les dates d'expiration, sachant que ces numéros ont été chiffrés par Advanced Encryption Standard (AES-128) » ajoutait le communiqué, avant d’admettre que si « deux composants sont nécessaires pour [les] déchiffrer (…) pour l’instant, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été volés ».  

Ayant appris que l’ICO envisageait de sanctionner Marriott, son président, Arne Sorenson, s’est dit « déçu » d’un tel projet. « Marriott a collaboré avec l’autorité de contrôle tout au long de son enquête sur l'incident, qui a entraîné une attaque criminelle contre la base de données de réservations Starwood ». Celui-ci assurant que la base de données en question n’était plus utilisée.

Seulement, cette bonne collaboration lors d'une enquête menée par les autorités de contrôle n'est pas suffisante. Encore faut-il prévenir ces incidents au moment opportun. 

… à l’obligation de sécurisation

La CNIL britannique a confirmé sa volonté de se diriger vers une telle sanction, non sans donner de détails mis à jour. « Diverses données à caractère personnel concernant environ 339 millions clients dans le monde ont été exposés, dont environ 30 millions résidents dans les 31 pays de l'Espace économique européen (EEE) et sept millions au Royaume-Uni ».

« Notre enquête a révélé que le nouveau propriétaire n'avait pas exercé la diligence requise lorsqu’il a acheté Starwood [en 2016]. Il aurait également dû faire plus pour sécuriser ses systèmes » sermonne l’ICO.

Le message est clair : lors d’une opération de rachat, le nouveau propriétaire a tout intérêt à déployer les moyens adéquats pour contrôler le parfait respect des normes en vigueur, dont aujourd’hui le RGPD.

« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. À défaut, nous n'hésiterons pas à prendre les mesures énergiques pour protéger les droits du public ».

Comme British Airways, Marriott va devoir plaider son dossier devant l’ICO, qui joue le rôle de guichet unique, représentant les autorités de contrôle des autres pays impactés. Le montant définitif sera arrêté après ces derniers échanges.

Si la sanction est confirmée à ce niveau, elle sera la deuxième plus forte jamais prononcée depuis le 25 mai 2018, avec en tête British Airways (200 millions d'euros) et, en troisième position, Google (50 millions d'euros).

19 commentaires
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 10/07/19 à 14:58:30

"les numéros de carte de paiement et les dates d'expiration"

C'est pas comme si c'était exclu des bonnes pratiques depuis des lustres...

Par contre, on sait pas grand chose sur la nature de la faille, même si elle devait être importante puisque la boite n'a pas exclu que les deux éléments pour déchiffrer aient été récupérés, alors que normalement ces éléments ne sont accessibles qu'en local sur le serveur si le responsable a bien fait son boulot.

En Angleterre la CNIL peut conserver le montant des amendes pour son compte ?

Édité par crocodudule le 10/07/2019 à 15:00
Avatar de Jean-Luc Skywalker Abonné
Avatar de Jean-Luc SkywalkerJean-Luc Skywalker- 10/07/19 à 15:01:13

Ces distributions de baffes ^^

Avatar de Inny Abonné
Avatar de InnyInny- 10/07/19 à 15:16:30

Jean-Luc Skywalker a écrit :

Ces distributions de baffes ^^

La CNIL française, elle, aurait froncé les sourcils méchamment. Peut-être même agité l'index.

Avatar de Fawziaza INpactien
Avatar de FawziazaFawziaza- 10/07/19 à 15:17:38
Édité par Vincent_H le 11/07/2019 à 06:42
Avatar de livvydun INpactien
Avatar de livvydunlivvydun- 10/07/19 à 15:30:03

Oui mais c'est parce que nous on est particulièrement sévères.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 10/07/19 à 15:43:44

Si cela pouvait faire réfléchir la CNIL française et l'inciter à passer à l'étape suivant "la pédagogie" :roll:

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 10/07/19 à 16:01:34

Jarodd a écrit :

Si cela pouvait faire réfléchir la CNIL française et l'inciter à passer à l'étape suivant "la pédagogie" :roll:

Elle l'a passée même si ses sanctions sont plus modestes.

Mais, à l'exception de Google, je trouve souvent que ses décisions manquent de cohérence, mettant sur le même plan:
. une information insuffisante de la personne,
. l'existence d'une faille de sécurité (parfois rapidement colmatée),
. le détournement de traitements (voire la violation manifeste d'un droit fondamental).

Alors qu'il me semble qu'il y a une différence de gravité dans ces comportements qui doivent par conséquent se traduire dans l'importante de la sanction.

Par ailleurs, elle se décrédibilise dès qu'il s'agit de s'attaquer aux politiques, les occasions n'ayant pourtant pas manquées ces derniers mois, pouvant donner une impression de deux poids deux mesures (schiappa, wauquiez etc...).

Surtout, la situation illustre les limites du RGPD, les victimes sont totalement ignorées dans ces procédures qui manquent par conséquent la cible principale (et je doute que l'action collective introduite change cette réalité).

Avatar de jemil Abonné
Avatar de jemiljemil- 10/07/19 à 16:52:06

Jarodd a écrit :

Si cela pouvait faire réfléchir la CNIL française et l'inciter à passer à l'étape suivant "la pédagogie" :roll:

Tu es fou ? Coller des amendes aux méchants américains, d'accord, mais après il faudrait peut-être faire la même chose avec des entreprises françaises, et ça, pas question !

Avatar de RévolutioN INpactien
Avatar de RévolutioNRévolutioN- 10/07/19 à 16:54:20
Édité par Vincent_H le 08/11/2019 à 12:44
Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. ... »

N'importe quoi : les données personnelles sont constitutives de la personne, et pas du tout d'un élément patrimonial. La Cnil britannique a bu le champagne trop tôt et s'est légèrement enivré pour divaguer à ce point.
Édité par Radithor le 10/07/2019 à 17:07
Il n'est plus possible de commenter cette actualité.
Page 1 / 2