Autorité britannique en charge de la protection des données personnelles, l'Information Commissioner's Office inflige au groupe américain de l'hôtellerie Marriott International, une amende de 18,4 millions de livres (près de 20,5 millions d'euros). Elle a été prononcée au nom de l'Union européenne.

Fin 2018, Marriott avait révélé qu'une cyberattaque avait compromis la base de données des réservations de sa filiale Starwood. De quoi exposer les données personnelles de 339 millions de clients dans le monde.

Il s'avère que cette cyberattaque remontait à 2014 avec l'installation d'un web shell malveillant sur un appareil du système d'information de Starwood. Il a été exploité pour implanter un malware permettant à l'attaquant d'avoir un accès à distance. D'autres outils ont été installés pour recueillir des identifiants de connexion qui ont permis d'accéder à la base de données des réservations.

" L'attaque, d'une source inconnue, est restée non détectée jusqu'en septembre 2018, date à laquelle la société avait été rachetée par Marriott ", écrit l'ICO. C'est en 2016 que Marriott avait fait l'acquisition de Starwood.

hacker

L'impact économique de la pandémie de coronavirus a pesé

Les données personnelles affectées comprenaient des noms, adresses email, numéros de téléphone, numéros de passeport non chiffrés, informations sur les arrivées et départs, sur un programme de fidélité.

L'autorité britannique pointe du doigt un défaut de " mesures techniques ou organisationnelles appropriées " pour la protection des données personnelles, et en vertu du Règlement général sur la protection des données (RGPD) entré en vigueur en mai 2018.

L'amende est toutefois moins salée que les 99 millions de livres initialement prévus. L'ICO indique avoir tenu compte des mesures prises par Marriott pour atténuer les effets de l'incident, mais aussi de l'impact économique du Covid-19 sur les activités du groupe.

Un dernier point qui est également entré en considération pour l'amende de 20 millions de livres prononcée à l'encontre de la compagnie aérienne British Airways dans une autre affaire de fuite de données.