(AFP) – Le géant américain de l’hôtellerie Marriott a été condamné à une amende 18,4 millions de livres en Europe à la suite d’un piratage de données ayant affecté 339 millions de clients dans le monde, a annoncé vendredi le régulateur britannique.
Le gendarme britannique de la protection des données (ICO) a mené l’enquête et a prononcé la sanction au nom de l’Union européenne, puisque le siège européen de Marriott se situe au Royaume-Uni. Les faits se sont déroulés en outre bien avant le Brexit, qui a eu lieu le 31 janvier dernier, ce qui a permis à l’ICO d’agir dans cette affaire, selon un communiqué. La cyber-attaque a eu lieu en 2014 sur le réseau des hôtels Starwood et des données ont été compromises jusqu’à que le piratage soit détecté en septembre 2018.
Marriott est visé par l’enquête en raison de sa fusion avec Starwoord en 2016. Les pirates n’ont pas été identifiés mais il ont pu avoir accès à tout une série de données communiquées lors de réservations comme le nom, l’adresse email, le numéro de téléphone ou encore de passeport. L’ICO a estimé que Marriott a manqué à ses devoirs en ne mettant pas en place les mesures nécessaires pour protéger les données personnelles enregistrées dans ses systèmes informatiques. « Quand une entreprises échoue à protéger les données des clients, la conséquence n’est pas seulement une possible amende. Ce qui compte le plus, ce sont les personnes et le devoir de protéger leurs données« , estime Elizabeth Denham, responsable de l’ICO.
Le régulateur précise avoir tenu compte, en infligeant son amende, des mesures prises par Marriott pour atténuer les effets de l’incident ainsi que de l’impact économique de la pandémie sur les activités du groupe. Cette sanction intervient deux semaines après l’amende record de 20 millions de livres prononcée par l’ICO contre la compagnie aérienne British Airways à propos du piratage d’informations personnelles de ses passagers en 2018.
