Fuite de données : après British Airways, Marriott risque aussi une grosse amende

Le par  |  2 commentaire(s)
cyber-security

La Cnil britannique enchaîne l'intention d'une deuxième amende post-RGPD. Après British Airways, c'est pour Marriott et toujours en raison d'une fuite de données.

En début de semaine, l'Information Commissioner's Office (ICO) a annoncé son intention de sanctionner British Airways d'une amende de 204 millions d'euros. L'autorité britannique en charge de la protection des données personnelles annonce désormais que Marriott International encourt une amende de 110 millions d'euros (99 millions de livres).

Pour le groupe hôtelier, cette amende viendrait également sanctionner une fuite de données. Elle entre aussi dans le cadre du Règlement général sur la protection des données (RGPD) entré en vigueur en mai 2018.

En novembre 2018, Marriott avait révélé que des attaquants avaient compromis la base de données de réservations de sa filiale Starwood. Selon l'ICO, les données personnelles de 339 millions de clients dans le monde ont été exposées.

" La vulnérabilité aurait débuté lorsque les systèmes du groupe hôtelier Starwood ont été compromis en 2014. Marriott a par la suite fait l'acquisition de Starwood en 2016, mais ce n'est qu'en 2018 que l'exposition de renseignements sur les clients a été découverte ", écrit l'ICO.

D'après l'enquête de l'ICO, Marriott n'a pas pris les mesures suffisantes pour sécuriser les systèmes lors du rachat de Starwood. Tout comme pour British Airways, cette menace de grosse amende a du mal à passer pour Marriott International qui entend réagir et " défendre vigoureusement " sa position.

" Nous sommes déçus de cet avis d'intention de l'ICO qui nous allons contester. Marriott a coopéré avec l'ICO tout au long de son enquête qui a impliqué une attaque criminelle contre la base de données des réservations de Starwood ", déclare dans un communiqué le patron de Marriott International.

Rappelons qu'en France, la Cnil a déjà prononcé une amende à la suite de l'entrée en vigueur du RGPD. Elle vise Google à hauteur de 50 millions d'euros. Pas pour une fuite de données, mais pour " manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. "

Google a fait appel. La Cnil avait analysé le parcours d'un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration d'un appareil mobile sur Android.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2071269
Rappelons qu'en France, la Cnil a déjà prononcé une amende à la suite de l'entrée en vigueur du RGPD. Elle vise Google à hauteur de 50 millions d'euros. Pas pour une fuite de données, mais pour " manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. "

La CNIL devrait s'inspirer de l'amende de British Airways 1,5% du CA de Google ça lui aurait piqué le fondement un peu plus sérieusement que qqs minutes de chiffre d'affaire.
Le #2071277
smalldick a écrit :

Rappelons qu'en France, la Cnil a déjà prononcé une amende à la suite de l'entrée en vigueur du RGPD. Elle vise Google à hauteur de 50 millions d'euros. Pas pour une fuite de données, mais pour " manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. "

La CNIL devrait s'inspirer de l'amende de British Airways 1,5% du CA de Google ça lui aurait piqué le fondement un peu plus sérieusement que qqs minutes de chiffre d'affaire.


La CNIL utilise déjà le pourcentage du CA pour fixer les amendes mais dans le cas Google, la transparence de l'info est une infraction mineure, maximum 1% du CA (contrairement au manque de sécurisation des données qui est majeure donc peut aller jusqu'à 4%).

C'est vrai qu'il y a beaucoup de raccourci quand on dit que le RGPD met une amende soit 20 millions d'euros ou 4% (le max des deux). Il faut savoir qu'il y a 3 catégories d'infraction
- mineure max 10 million - 1%
- mineure haute 10 million - 2%
- majeure 20 million - entre 2% et 4%

Donc pour british Airways, ce n'est pas un simple manque d'accountability donc ce n'est pas la première catégorie.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme