L'ICO condamne les hôtels Marriott. Attention à la sécurité de vos données!

ICO, Penalty Notice, 30 oct. 2020, Case ref. : COM0804337

Par décision du 30 octobre 2020, l’Information Commissioner’s Office (ICO), autorité britannique de protection des données, a condamné le groupe Marriott, à une amende de 18,4 millions de livres sterling.

Une opération commerciale à haut risque

Pourtant, c’est bien le géant américain de l’hôtellerie qui a été l’objet entre 2016 et 2018 d’une violation massive des données à caractère personnel de ses clients. Cette violation s’est produite dans le cadre de l’acquisition en 2016 de la société STARWOOD par la société Marriott International. En conséquence de cette opération, le groupe hôtelier a intégré l’intégralité des systèmes informatiques de la société cible. Mal lui en prit car la société Marriott International ignorait alors que ces systèmes avaient été compromis deux ans auparavant à l’occasion d’une cyberattaque. Or, cette faille dans le système informatique n’avait toujours pas été éliminée à la date de l’opération d’acquisition. Les « hackers », déjà introduits dans le système, pouvaient toujours y accéder.

En intégrant les systèmes informatiques de la société STARWOOD sans prendre les mesures de protection suffisantes, le groupe hôtelier Marriott a permis aux pirates informatiques d’accéder librement à la masse considérable de ses données clients.

Infraction aux dispositions du RGPD

L’alerte n’a été donnée qu’en septembre 2018, soit bien après l’opération d’acquisition et surtout plusieurs mois après l’entrée en vigueur du Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») (accessible ici).

L’article 32 du RGPD impose pourtant au responsable de traitement d’assurer la sécurité du traitement et ainsi de « mett[re] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’occurrence, les mesure de sécurité étaient insuffisantes. Une protection efficace n’aurait exigé que la mise en place de dispositifs relativement communs, sous réserve d’un déploiement cohérent. A titre d’exemple, les dispositifs de cryptage n’étaient pas appliqués à l’ensemble des données traitées, en ce compris une partie des passeports des clients, et une clé de déchiffrement était accessible dans les fichiers piratés.

Cette décision, au demeurant développée et très pédagogique d’un point de vue technique – comme c’est souvent le cas des décisions de Commonlaw – brille par son message plus que par son contenu. Elle vient rappeler par l’exemple que la conformité au RGPD n’est pas de simple forme. Elle a une portée pratique incontestable et essentielle dans notre tissu économique. Le RGPD protège non seulement les personnes concernées, titulaires des données, mais également ceux qui les manipulent.