La chaîne hôtelière américaine Marriot International est menacée d’une amende de plus de 110 millions € ( 99 millions £) pour une violation de données affectant des centaines de millions de personnes.
La Cnil britannique (Information Commissioner’s Office – ICO) a lancé son enquête sur le piratage «colossal» de Marriott International en décembre dernier . Ce piratage n’a été découvert qu’en novembre 2018, mais il a affecté les données personnelles et les données de cartes de paiement de 340 millions de personnes depuis 2014.
Autre entreprise pointée par l’ICO, British Airways est passible d’une amende de plus de 240 millions € (183,39 millions £) pour une violation de données qui avait touché un demi-million de clients l’an dernier.
L’amende qui vise Mariott tient au fait qu’elle est régie par des règles plus strictes en matière de protection des données (RGPD) .
L’ICO a déclaré que la violation de données avait eu lieu lorsque les systèmes du groupe hôtelier Starwood avaient été compromis en 2014 . Marriott a acquis Starwood en 2016, mais l’exposition d’informations des clients n’a été découverte qu’en 2018.
L’enquête de l’ICO a révélé que Marriott n’avait pas entrepris le contrôle diligent nécessaire lors de l’achat de Starwood et aurait dû en faire plus pour sécuriser ses systèmes.
«Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu’elles détiennent», a déclaré la commissaire à l’information, Elizabeth Denham. «Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données personnelles qui ont été acquises, mais également la manière dont elles sont protégées.»
«Les données personnelles ont une valeur réelle, de sorte que les entreprises ont l’obligation légale d’assurer sa sécurité, comme elles le feraient avec n’importe quel autre actif», a déclaré Denham.
En dépit de leur collaboration aux enquêtes et de l’amélioration de leur dispositif de sécurité, Marriott International et British Airways doivent désormais préparer leur défense et convaincre l’ICO de renoncer à ces amendes record.
Aucune date de conclusion de ces affaires n’a été communiquée.
Lire aussi : RGPD : les 6 étapes obligatoires pour la mise en conformité
Article original publié sur Silicon.co.uk
Crédit photo : @ICO
Microsoft affirme que l'accord européen de 2009 a donné à CrowdStrike les clés du noyau…
Déjà Président du conseil d'administration, l'ex banquier Jean-Pierre Mustier est nommé directeur général d'Atos. Il…
Le Financial Times rapporte qu'OpenAI était en pourparlers avec des concepteurs de semi-conducteurs, dont Broadcom,…
En première ligne pour subir les cyberattaques, les TPE/PME sont aussi les moins bien formées…
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…