La Cnil britannique (ICO) a pris deux réquisitions d’amendes record contre Marriott International et British Airways pour violation du RGPD.

La chaîne hôtelière américaine Marriot International est menacée d’une amende de plus de 110 millions € ( 99 millions £) pour une violation de données affectant des centaines de millions de personnes.

La Cnil britannique (Information Commissioner’s Office – ICO) a lancé son enquête sur le piratage «colossal» de Marriott International en décembre dernier . Ce piratage n’a été découvert qu’en novembre 2018, mais il a affecté les données personnelles et les données de cartes de paiement de 340 millions de personnes depuis 2014.

Autre entreprise pointée par l’ICO, British Airways est passible d’une amende de plus de 240 millions € (183,39 millions £) pour une violation de données qui avait touché un demi-million de clients l’an dernier.

The ICO has issued a notice of its intention to fine
British Airways £183.39M for infringements of the General Data Protection
Regulation (GDPR).https://t.co/TdUYIDWqBf

— ICO (@ICOnews) 8 juillet 2019

Les deux groupes n'ont pas respecté le RGPD

L’amende qui vise Mariott tient au fait qu’elle est régie par des règles plus strictes en matière de protection des données (RGPD) .

Statement in response to Marriott International, Inc's filing with the US Securities and Exchange Commission that ICO intends to fine it more than £99 million for infringements of the GDPR. https://t.co/JqQIvZpQgs

— ICO (@ICOnews) 9 juillet 2019

L’ICO a déclaré que la violation de données avait eu lieu lorsque les systèmes du groupe hôtelier Starwood avaient été compromis en 2014 . Marriott a acquis Starwood en 2016, mais l’exposition d’informations des clients n’a été découverte qu’en 2018.

Lire aussi : RGPD : la CNIL face aux spécificités des IA

L’enquête de l’ICO a révélé que Marriott n’avait pas entrepris le contrôle diligent nécessaire lors de l’achat de Starwood et aurait dû en faire plus pour sécuriser ses systèmes.

Les deux groupes vont devoir convaincre l'ICO

«Le RGPD indique clairement que les organisations doivent être responsables des données personnelles qu'elles détiennent», a déclaré la commissaire à l'information, Elizabeth Denham. «Cela peut inclure de faire preuve de la diligence requise lors de l’acquisition d’une entreprise et de mettre en place des mesures de responsabilisation appropriées pour évaluer non seulement les données personnelles qui ont été acquises, mais également la manière dont elles sont protégées.»

«Les données personnelles ont une valeur réelle, de sorte que les entreprises ont l'obligation légale d'assurer sa sécurité, comme elles le feraient avec n'importe quel autre actif», a déclaré Denham.

En dépit de leur collaboration aux enquêtes et de l'amélioration de leur dispositif de sécurité, Marriott International et British Airways doivent désormais préparer leur défense et convaincre l'ICO de renoncer à ces amendes record.

Aucune date de conclusion de ces affaires n'a été communiquée.

Lire aussi : RGPD : les 6 étapes obligatoires pour la mise en conformité

Article original publié sur Silicon.co.uk

_{Crédit photo : @ICO}

Lire aussi : Microsoft 365 : la « Cnil européenne » épingle la Commission pour une mauvaise protection des données