Après British Airways, le groupe Marriott est dans le viseur de la CNIL britannique. Celle-ci envisage de lui infliger une sanction de 110 millions d’euros pour une brèche de sécurité restée béante quatre ans durant.
L’Information Commissioner’s Office (ICO) a menacé cette semaine British Airways d’une sanction monstre de 200 millions d’euros pour violation du Règlement général sur la protection des données personnelles (RGPD).
En cause, une faille qui a permis à un tiers de prendre la main sur les données de 500 000 clients. Le montant n’est pas encore totalement fixé, puisque l’entreprise devra défendre sa cause devant l’ICO. Dernière étape avant le couperet final.
Une nouvelle affaire, avec un montant conséquent, est sur la rampe. Marriott International a alerté hier la Securities and Exchange Commission que la même CNIL britannique envisageait de lui infliger une sanction de 110 millions d’euros (£99,200,396).
Les faits remontent au 30 novembre 2018, six mois après l’entrée en application du RGPD. La chaîne annonçait alors un « incident de sécurité » impliquant la base de réservation de sa chaîne Starwood. Le 10 septembre 2018, l’entreprise a détecté en effet un accès non autorisé à ces informations. Mieux, un tiers a pu copier et chiffrer une partie d’entre elles.
Selon les estimations, l’incident a frappé environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pourquoi autant de monde ?
Tout simplement parce que la brèche était béante depuis… 2014 et que derrière Starwood, on trouve des géants comme W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ou encore Design Hotels.
Du devoir de collaboration...
« Pour environ 327 millions d’entre eux, ces informations incluent nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations sur le compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication ».
« Pour certains, elles comprennent les numéros de carte de paiement et les dates d'expiration, sachant que ces numéros ont été chiffrés par Advanced Encryption Standard (AES-128) » ajoutait le communiqué, avant d’admettre que si « deux composants sont nécessaires pour [les] déchiffrer (…) pour l’instant, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été volés ».
Ayant appris que l’ICO envisageait de sanctionner Marriott, son président, Arne Sorenson, s’est dit « déçu » d’un tel projet. « Marriott a collaboré avec l’autorité de contrôle tout au long de son enquête sur l'incident, qui a entraîné une attaque criminelle contre la base de données de réservations Starwood ». Celui-ci assurant que la base de données en question n’était plus utilisée.
Seulement, cette bonne collaboration lors d'une enquête menée par les autorités de contrôle n'est pas suffisante. Encore faut-il prévenir ces incidents au moment opportun.
… à l’obligation de sécurisation
La CNIL britannique a confirmé sa volonté de se diriger vers une telle sanction, non sans donner de détails mis à jour. « Diverses données à caractère personnel concernant environ 339 millions clients dans le monde ont été exposés, dont environ 30 millions résidents dans les 31 pays de l'Espace économique européen (EEE) et sept millions au Royaume-Uni ».
« Notre enquête a révélé que le nouveau propriétaire n'avait pas exercé la diligence requise lorsqu’il a acheté Starwood [en 2016]. Il aurait également dû faire plus pour sécuriser ses systèmes » sermonne l’ICO.
Le message est clair : lors d’une opération de rachat, le nouveau propriétaire a tout intérêt à déployer les moyens adéquats pour contrôler le parfait respect des normes en vigueur, dont aujourd’hui le RGPD.
« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. À défaut, nous n'hésiterons pas à prendre les mesures énergiques pour protéger les droits du public ».
Comme British Airways, Marriott va devoir plaider son dossier devant l’ICO, qui joue le rôle de guichet unique, représentant les autorités de contrôle des autres pays impactés. Le montant définitif sera arrêté après ces derniers échanges.
Si la sanction est confirmée à ce niveau, elle sera la deuxième plus forte jamais prononcée depuis le 25 mai 2018, avec en tête British Airways (200 millions d'euros) et, en troisième position, Google (50 millions d'euros).
