Vol de données : Marriott va payer 52 millions $

Marriott International a accepté de payer 52 millions $ et de renforcer ses pratiques de sécurité des données pour régler les réclamations des États et des gouvernements fédéraux liées à des violations majeures de données qui ont touché plus de 344 millions de ses clients dans le monde.

La Commission fédérale du commerce (FTC) et un groupe de procureurs généraux de 49 États et du District de Columbia ont annoncéi les termes de règlements avec Marriott. La FTC et les États ont mené des enquêtes parallèles sur trois violations de données, qui ont eu lieu entre 2014 et 2020.

La FTC affirme que groupe hôtelier n'avait pas réussi à sécuriser son système d'information avec des contrôles appropriés des mots de passe, une surveillance du réseau ou d'autres pratiques appropriées pour protéger les données.

Dans le cadre de son accord proposé avec la FTC, Marriott affirme avoir déjà mis en place des renforcements de la confidentialité des données et de la sécurité de l'information mais n'a pas reconnu sa responsabilité dans cette affaire.

Mariott condamné par la Cnil britannique dès 2020

En novembre 2018, Marriott avait annoncé une violation massive de données, notamment les numéros de passeport non cryptés de plus de 5 millions de clients et des informations sur les cartes de crédit pour 8,6 millions de clients. Les marques hôtelières concernées étaient exploitées par Starwood avant d'être acquises par Marriott en 2016.

Le FBI a dirigé l'enquête sur ce vol de données, et les enquêteurs soupçonnaient que les pirates travaillaient pour le compte du ministère chinois de la sécurité de l'État.

En Europe, Marriott avait déjà été condamné en 2020 par la Cnil britannique ( ICO) d'une amende de plus de 18 millions de livres dans cette affaire pour ne pas avoir respecté le RGPD.