Le groupe Marriott condamné à une amende de 18,4 millions de livres sterling.
Par décision du 30 octobre 2020, l’Information Commissioner’s Office (ICO), autorité britannique de protection des données, a condamné le groupe Marriott, à une amende de 18,4 millions de livres sterling.
ICO, Penalty Notice, 30 oct. 2020, Case ref. : COM0804337
Le 30 octobre 2020, l’Information Commissioner’s Office (ICO), autorité britannique de protection des données, a infligé une amende de 18,4 millions de livres sterling (environ 20,4 millions d’euros) à Marriott International Inc. Cette sanction fait suite à une violation massive de données personnelles, révélée en 2018, mais dont l’origine remonte à une cyberattaque survenue en 2014 contre Starwood Hotels, société rachetée par Marriott en 2016.
Une faille héritée, une détection tardive
L’attaquant avait installé un logiciel malveillant sur les serveurs de Starwood, lui permettant un accès prolongé aux systèmes. Ce vecteur d’intrusion est resté actif après le rachat, exposant près de 339 millions de dossiers clients, dont 30 millions de résidents de l’EEE et 7 millions au Royaume-Uni. La violation n’a été détectée qu’en septembre 2018, soit plusieurs mois après l’entrée en vigueur du RGPD.
Manquements techniques au regard de l’article 32 RGPD
L’enquête de l’ICO a révélé des insuffisances majeures :
- Absence de due diligence lors de l’acquisition, malgré les risques connus liés aux systèmes Starwood.
- Monitoring défaillant des comptes privilégiés et bases de données, facilitant l’exfiltration des données.
- Cryptage insuffisant, notamment des passeports, avec une clé de déchiffrement accessible dans les fichiers.
- Contrôle lacunaire des systèmes critiques, sans restriction IP ni renforcement des serveurs.
Ces manquements ont été jugés contraires aux obligations de sécurité imposées par l’article 32 du RGPD, qui exige des mesures techniques et organisationnelles adaptées au risque.
Une sanction modulée par des circonstances atténuantes
Malgré la gravité des faits, l’ICO a pris en compte :
- la coopération active de Marriott,
- les mesures d’information mises en place pour les clients,
- les investissements post-incident en cybersécurité (50 M$ en 2019, 100 M$ en 2020),
- et le contexte économique lié à la pandémie de COVID-19.
La sanction initiale de 28 millions de livres a été réduite à 18,4 millions, illustrant une approche pédagogique et proportionnée.
Enjeux pour les responsables de traitement
Cette décision constitue un référentiel utile pour les entreprises :
- Anticiper les risques liés aux acquisitions (due diligence technique et juridique),
- Renforcer les dispositifs de sécurité opérationnelle,
- Documenter les mesures prises pour démontrer la conformité en cas de contrôle.
Elle rappelle que la négligence en matière de sécurité peut entraîner des sanctions lourdes, tant financières que réputationnelles.
