RGPD : Marriot et British Airways menacés par la Cnil britannique

Bases de donnéesData & StockageRégulationsSurveillance

La Cnil britannique (ICO) a pris deux réquisitions d’amendes record contre Marriott International et British Airways pour violation du RGPD.

La chaîne hôtelière américaine Marriot International est menacée d’une amende de plus de 110 millions € ( 99 millions £) pour une violation de données affectant des centaines de millions de personnes.

La Cnil britannique (Information Commissioner’s Office – ICO) a lancé son enquête sur le piratage «colossal» de Marriott International en décembre dernier . Ce piratage n’a été découvert qu’en novembre 2018, mais il a affecté les données personnelles et les données de cartes de paiement de 340 millions de personnes depuis 2014.

Autre entreprise pointée par l’ICO,  British Airways est passible d’une amende de plus de 240 millions € (183,39 millions £)  pour une violation de données qui avait touché un demi-million de clients l’an dernier.

Les deux groupes n’ont pas respecté le RGPD 

L’amende qui vise Mariott tient au fait qu’elle est régie par des règles plus strictes en matière de protection des données (RGPD) .


 L’ICO a déclaré que la violation de données avait eu lieu lorsque les systèmes du groupe hôtelier Starwood avaient été compromis en 2014 . Marriott a acquis Starwood en 2016, mais l’exposition d’informations des clients n’a été découverte qu’en 2018.

L’enquête de l’ICO a révélé que Marriott n’avait pas entrepris le contrôle diligent nécessaire lors de l’achat de Starwood et aurait dû en faire plus pour sécuriser ses systèmes.

Les deux groupes vont devoir convaincre l’ICO 

«Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu’elles détiennent», a déclaré la commissaire à l’information, Elizabeth Denham. «Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données personnelles qui ont été acquises, mais également la manière dont elles sont protégées.»

«Les données personnelles ont une valeur réelle, de sorte que les entreprises ont l’obligation légale d’assurer sa sécurité, comme elles le feraient avec n’importe quel autre actif», a déclaré Denham.

En dépit de leur collaboration aux enquêtes et de l’amélioration de leur dispositif de sécurité,  Marriott International et British Airways doivent désormais préparer leur défense et convaincre l’ICO de renoncer à ces amendes record.

Aucune date de conclusion de ces affaires n’a été communiquée.

Lire aussiRGPD : les 6 étapes obligatoires pour la mise en conformité

Article original publié sur Silicon.co.uk

Crédit photo : @ICO

Lire aussi :