RGPD : Marriott risque une sanction de 110 millions d’euros

RGPD : Marriott risque une sanction de 110 millions d’euros

Petit dej' non compris

Avatar de l'auteur
Marc Rees

Publié dans

Droit

10/07/2019 5 minutes
19

RGPD : Marriott risque une sanction de 110 millions d’euros

Après British Airways, le groupe Marriott est dans le viseur de la CNIL britannique. Celle-ci envisage de lui infliger une sanction de 110 millions d’euros pour une brèche de sécurité restée béante quatre ans durant.

L’Information Commissioner’s Office (ICO) a menacé cette semaine British Airways d’une sanction monstre de 200 millions d’euros pour violation du Règlement général sur la protection des données personnelles (RGPD).

En cause, une faille qui a permis à un tiers de prendre la main sur les données de 500 000 clients. Le montant n’est pas encore totalement fixé, puisque l’entreprise devra défendre sa cause devant l’ICO. Dernière étape avant le couperet final.

Une nouvelle affaire, avec un montant conséquent, est sur la rampe. Marriott International a alerté hier la Securities and Exchange Commission que la même CNIL britannique envisageait de lui infliger une sanction de 110 millions d’euros (£99,200,396). 

Les faits remontent au 30 novembre 2018, six mois après l’entrée en application du RGPD. La chaîne annonçait alors un « incident de sécurité » impliquant la base de réservation de sa chaîne Starwood. Le 10 septembre 2018, l’entreprise a détecté en effet un accès non autorisé à ces informations. Mieux, un tiers a pu copier et chiffrer une partie d’entre elles.

Selon les estimations, l’incident a frappé environ 500 millions de personnes qui ont fait une réservation dans un établissement Starwood. Pourquoi autant de monde ?

Tout simplement parce que la brèche était béante depuis… 2014 et que derrière Starwood, on trouve des géants comme W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton ou encore Design Hotels.

Du devoir de collaboration...

« Pour environ 327 millions d’entre eux, ces informations incluent nom, adresse postale, numéro de téléphone, adresse e-mail, numéro de passeport, informations sur le compte Starwood Preferred Guest («SPG»), date de naissance, sexe, informations d'arrivée et de départ, date de réservation et préférences de communication ».

« Pour certains, elles comprennent les numéros de carte de paiement et les dates d'expiration, sachant que ces numéros ont été chiffrés par Advanced Encryption Standard (AES-128) » ajoutait le communiqué, avant d’admettre que si « deux composants sont nécessaires pour [les] déchiffrer (…) pour l’instant, Marriott n’a pas été en mesure d’exclure la possibilité que les deux aient été volés ».  

Ayant appris que l’ICO envisageait de sanctionner Marriott, son président, Arne Sorenson, s’est dit « déçu » d’un tel projet. « Marriott a collaboré avec l’autorité de contrôle tout au long de son enquête sur l'incident, qui a entraîné une attaque criminelle contre la base de données de réservations Starwood ». Celui-ci assurant que la base de données en question n’était plus utilisée.

Seulement, cette bonne collaboration lors d'une enquête menée par les autorités de contrôle n'est pas suffisante. Encore faut-il prévenir ces incidents au moment opportun. 

… à l’obligation de sécurisation

La CNIL britannique a confirmé sa volonté de se diriger vers une telle sanction, non sans donner de détails mis à jour. « Diverses données à caractère personnel concernant environ 339 millions clients dans le monde ont été exposés, dont environ 30 millions résidents dans les 31 pays de l'Espace économique européen (EEE) et sept millions au Royaume-Uni ».

« Notre enquête a révélé que le nouveau propriétaire n'avait pas exercé la diligence requise lorsqu’il a acheté Starwood [en 2016]. Il aurait également dû faire plus pour sécuriser ses systèmes » sermonne l’ICO.

Le message est clair : lors d’une opération de rachat, le nouveau propriétaire a tout intérêt à déployer les moyens adéquats pour contrôler le parfait respect des normes en vigueur, dont aujourd’hui le RGPD.

« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l'obligation légale d'assurer leur sécurité, comme elles le feraient avec n'importe quel autre actif. À défaut, nous n'hésiterons pas à prendre les mesures énergiques pour protéger les droits du public ».

Comme British Airways, Marriott va devoir plaider son dossier devant l’ICO, qui joue le rôle de guichet unique, représentant les autorités de contrôle des autres pays impactés. Le montant définitif sera arrêté après ces derniers échanges.

Si la sanction est confirmée à ce niveau, elle sera la deuxième plus forte jamais prononcée depuis le 25 mai 2018, avec en tête British Airways (200 millions d'euros) et, en troisième position, Google (50 millions d'euros).

19

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Du devoir de collaboration...

… à l’obligation de sécurisation

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (19)


“les numéros de carte de paiement et les dates d’expiration”



C’est pas comme si c’était exclu des bonnes pratiques depuis des lustres…



Par contre, on sait pas grand chose sur la nature de la faille, même si elle devait être importante puisque la boite n’a pas exclu que les deux éléments pour déchiffrer aient été récupérés, alors que normalement ces éléments ne sont accessibles qu’en local sur le serveur si le responsable a bien fait son boulot.



En Angleterre la CNIL peut conserver le montant des amendes pour son compte ?


Ces distributions de baffes ^^








Jean-Luc Skywalker a écrit :



Ces distributions de baffes ^^





La CNIL française, elle, aurait froncé les sourcils méchamment. Peut-être même agité l’index.



Oui mais c’est parce que nous on est particulièrement sévères.


Si cela pouvait faire réfléchir la CNIL française et l’inciter à passer à l’étape suivant “la pédagogie” <img data-src=" />








Jarodd a écrit :



Si cela pouvait faire réfléchir la CNIL française et l’inciter à passer à l’étape suivant “la pédagogie” <img data-src=" />





Elle l’a passée même si ses sanctions sont plus modestes.



Mais, à l’exception de Google, je trouve souvent que ses décisions manquent de cohérence, mettant sur le même plan:

. une information insuffisante de la personne,

. l’existence d’une faille de sécurité (parfois rapidement colmatée),

. le détournement de traitements (voire la violation manifeste d’un droit fondamental).



Alors qu’il me semble qu’il y a une différence de gravité dans ces comportements qui doivent par conséquent se traduire dans l’importante de la sanction.



Par ailleurs, elle se décrédibilise dès qu’il s’agit de s’attaquer aux politiques, les occasions n’ayant pourtant pas manquées ces derniers mois, pouvant donner une impression de deux poids deux mesures (schiappa, wauquiez etc…).



Surtout, la situation illustre les limites du RGPD, les victimes sont totalement ignorées dans ces procédures qui manquent par conséquent la cible principale (et je doute que l’action collective introduite change cette réalité).









Jarodd a écrit :



Si cela pouvait faire réfléchir la CNIL française et l’inciter à passer à l’étape suivant “la pédagogie” <img data-src=" />





Tu es fou ? Coller des amendes aux méchants américains, d’accord, mais après il faudrait peut-être faire la même chose avec des entreprises françaises, et ça, pas question !



« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l’obligation légale d’assurer leur sécurité, comme elles le feraient avec n’importe quel autre actif. … »




N'importe quoi : les données personnelles sont constitutives de la personne, et pas du tout d'un élément patrimonial. La Cnil britannique a bu le champagne trop tôt et s'est légèrement enivré pour divaguer à ce point.







Radithor a écrit :



« Les données personnelles ont une valeur réelle, insiste en ce sens la commissaire Elizabeth Denham, les organisations ont l’obligation légale d’assurer leur sécurité, comme elles le feraient avec n’importe quel autre actif. … »




 N'importe quoi : les données personnelles sont constitutives de la personne, et pas du tout d'un élément patrimonial. La Cnil britannique a bu le champagne trop tôt et s'est légèrement enivré pour divaguer à ce point.







Ca c’est notre position (et j’y suis opposée même si je suis un gochiasse), la vision anglo-saxonne est radicalement différente voulant accorder une telle valeur (qui sera bien pratique le jour où on voudra enfin indemniser les victimes de détournement de données et pas simplement faire des tableaux de chasse de CNILs) et peut être un vrai moyen de pression contre les GAFAM(S) (qui eux en trouvent une de valeur patrimoniale aux données).



si tu rattaches un compte à une personne physique , c’est une donnée personnelle.



TOUTES données&nbsp; qui te permettent de relier à une personne physique , est une donnée personnelle


Pour ma part, les données personnelles sont constitutives de la personne, une personne étant protégée par les Déclaration universelle de l’Homme (notamment l’article 12 souvent cité par le président de Qwant).



La propriété privée d’un bien immatériel que constituerait sa date de naissance n’a aucun sens pour un individu et légitime arbitrairement l’activité néfaste de ces sociétés qui font entrer ces données personnelles dans le giron de leurs actifs de bilan.

NB: moi, je suis social-démocrate et comptable (un comptable qui abhorre la comptabilité anglo-saxonne qui privilégie la liberté économique au détriment de l’image fidèle du patrimoine). Mais c’est une autre histoire.


Et alors ? ça donne le droit de vendre ses droits pour quelques chiffres sur un compte bancaire ?


On remplace les 2 T du nom du groupe par 2 L et on est bon… <img data-src=" />








Radithor a écrit :



Pour ma part, les données personnelles sont constitutives de la personne, une personne étant protégée par les Déclaration universelle de l’Homme (notamment l’article 12 souvent cité par le président de Qwant).




La propriété privée d'un bien immatériel que constituerait sa date de naissance n'a aucun sens pour un individu et légitime arbitrairement l'activité néfaste de ces sociétés qui font entrer ces données personnelles dans le giron de leurs actifs de bilan.       

NB: moi, je suis social-démocrate et comptable (un comptable qui abhorre la comptabilité anglo-saxonne qui privilégie la liberté économique au détriment de l'image fidèle du patrimoine). Mais c'est une autre histoire.







Il convient de s’inspirer du droit à l’image: par définition c’est un droit de la personnalité qui doit être par conséquent qualifié d’extra-patrimonial&nbsp; et donc sans valeur économique. Cependant et comme tu as pu le voir au fil du temps la jurisprudence n’a pas manqué de reconnaître de fait une valeur économique à l’exploitation de l’image (affaire Picasso / paparazzi en tête…). A mon sens, les données à caractère personnel doivent suivre le même chemin.



Le gros du débat est entre les classiques pour qui s’il y a droit de la personnalité = pas de valeur économique point barre (c’est même pas la peine de discuter avec eux, généralement ils enchainent ainsi ; droit de la personnalité = droit naturel = dieu, donc ça limite le débat).



A “l’opposé”, ceux qui constatent que d’une part les victimes ne sont jamais indemnisées de la violation de leurs données mais au mieux des conséquences de la violations (impliquant de démontrer un dommage, une faute et un lien de causalité entre eux, classique mais très difficile pour des données persos, même au pénal), et que d’autre part ceux qui exploitent ces données reconnaissent une valeur économique à celles-ci.



La question est alors de savoir si on doit voir cela comme un droit voisin du droit d’auteur ou si on reste le cul entre deux chaises en partant du principe que tout comme pour toute violation de l’article 9 du Code civil (vie privée) il doit y avoir indemnisation, on peut faire de même s’agissant des droits dérivés de l’article 9 (donc droit à l’image, données à caractère personnel etc…).



Perso, le choix entre ces deux options m’indiffèrent, toutes permettent de répondre aux deux problèmes soulevés. J’ai une petite préférence pour l’option cul entre deux chaises, sinon on va finir avec la CNIL comme société de gestion des droits des données à caractère perso. <img data-src=" />



&nbsp;



Très excité quand les gars me voient nue sur la photo, j’aime bien envoyer des photoshttp://tindersex.ga/glorende


A toutes fins utiles, l’ICO a 900 agents, la CNIL 200 (et elle a obtenu de haute lutte dans son budget de l’an prochain 15 postes supplémentaires). Cela peut vous aider sans doute à relativiser sur les actions de la CNIL.