Pour son échec à protéger les données personnelles, Marriott est condamné

Iliad condamné en Italie pour l’accès des salariés aux données de trafic

La Cnil britannique inflige finalement une amende d’environ 20 millions d’euros au groupe hôtelier Marriott International. L’entreprise est coupable de manquement au RGPD pour l’absence de mesures de sécurité protégeant les données personnelles de ses clients.

Après British Airways, c’est au tour de Marriott International d’être fixé sur son sort. Dans un premier temps, l’ICO, l’équivalent britannique de la Cnil, préconisait une amende RGPD d’un peu plus de 110 millions d’euros.

Mais comme la compagnie aérienne, le groupe hôtelier voit sa sanction réduite. L’autorité de protection sanctionne l’entreprise à hauteur de 18,4 millions de livres, soit environ 20,3 millions d’euros.

Cyberattaque en 2014 découverte seulement en 2018

La cause de cette condamnation, c’est l’absence de mesures de protection appropriées des données personnelles de ses clients. En 2014, le groupe était la cible d’une cyberattaque. Celle-ci se traduisait par un vol massif de données.

En effet, 339 millions de clients de Marriott seraient concernés. Parmi les informations compromises, les noms, adresses emails, numéros de passeports en clair ou encore coordonnées téléphoniques. Or, la découverte de l’attaque prendra plusieurs années. Elle interviendra en septembre 2018.

Selon son enquête, l’ICO estime que Marriott n’avait pas mis en place les mesures techniques ou organisationnelles appropriées pour protéger les données personnelles traitées dans ses systèmes. Cette faille constitue une infraction au règlement général sur la protection des données (RGPD).

«  Des millions de personnes ont vu leurs données affectées par l’échec de Marriott ; des milliers ont contacté une ligne d’assistance et d’autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que l’entreprise à laquelle elles faisaient confiance ne l’avait pas fait » dénonce la présidente de l’ICO.

La sanction tient compte de l’impact du Covid-19

Pour le groupe, les conséquences financières sont donc significatives. L’amende est cependant divisée par cinq par rapport aux premières conclusions de l’enquête. L’autorité le justifie par les mesures prises par l’entreprise pour atténuer les effets de l’incident.

Comme pour British Airways, l’ICO indique en outre tenir compte de « l’impact économique de la COVID-19 » avant de fixer une sanction finale. Or l’hôtellerie souffre particulièrement de la crise sanitaire.

La condamnation des deux multinationales souligne cependant l’importance pour les entreprises d’allouer des moyens suffisants à la sécurité des données personnelles. La sanction financière n’est toutefois qu’une des conséquences d’un tel manquement.

« Lorsqu’une entreprise ne prend pas soin des données de ses clients, l’impact n’est pas seulement une amende éventuelle. Ce qui compte le plus, c’est le public dont elle avait le devoir de protéger les données » note la commissaire de l’ICO, Elizabeth Denham.

A lire également sur MyData

Les données personnelles des bacheliers ne sont pas pour les députés

La Cnil révise ses lignes directrices sur les cookies

Les nouvelles lignes directrices de la Cnil sur les cookies et traceurs publicitaires sont disponibles. Elles tiennent compte de la décision du Conseil d’État sur le cookie wall. Les entreprises disposent au maximum de six mois pour se mettre en conformité.

A propos de Christophe Auffray 396 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.