L’Information Commissioner’s Office (ICO), homologue anglais de la CNIL, a annoncé son intention d’infliger une amende d’un montant de 99 200 396 livres, soit 110,4 millions d’euros, à Marriott International, premier groupe hôtelier au monde, pour infraction au Règlement Général de la Protection des Données (RGPD).

La sanction est liée à la brèche de données notifiée à l’ICO par Marriott en novembre 2018, durant laquelle plus de 339 millions d’enregistrements de clients furent exposés, dont 30 millions liés aux habitants de l’Espace Économique Européen, et 7 millions liés à des résidents britanniques.

Starwood regroupe les marques : W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et certains Design Hotels.

Le public fut informé fin novembre 2018, que 500 millions d’entrées de réservations furent piratées, un chiffre revu à la baisse à 383 millions en janvier 2019.

La vulnérabilité a sans doute commencé quand les systèmes de Starwood Hotels Group, que Marriott racheta en 2016, furent compromis en 2014. Elle ne fut découverte qu’en 2018.

D’après l’enquête que l’ICO a menée en tant qu’autorité de supervision dirigeante pour le compte des autorités de protection des données des autres États membres de l’Union européenne, Marriott n’a pas fait preuve de suffisamment de diligence lors de l’acquisition de Starwood, et aurait dû faire plus pour renforcer la sécurité de ses systèmes.

Marriott International, dont le président et CEO Arne Sorenson se dit très déçu par cette notice, a l’intention de la contester et de répondre vigoureusement, comme le RGPD lui en donne le droit, avant la détermination finale de l’ICO.

Il s’agit de la deuxième détermination de l’ICO cette semaine, après British Airways.