swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Condamnation de Marriott pour une fuite de données

Célian Hirsch, le 9 avril 2021
Dans sa Penalty Notice, l’Information Commissioner’s Office anglais sanc­tionne le groupe hôte­lier Marriott pour n’avoir pas pris les mesures de sécu­rité adéquate (art. 32 RGPD). Ses manque­ments ont permis à des pirates d’ob­te­nir les données d’en­vi­ron 339 millions de clients.

Information Commissioner’s Office, Penalty Notice COM0804337 du 30 octobre 2020 contre Marriott International Inc. 

En septembre 2018, Marriott découvre que le système infor­ma­tique de Starwood, l’une de ses filiales, a été infil­tré par des pirates. Cette société avait été acquise en 2016. Or, grâce à un web shell, les pirates ont pu accé­der en 2014 déjà au système de Starwood et y instal­ler un remote access trojan.

Contrairement aux assu­rances reçues et à deux Reports on Compliance remis avant l’ac­qui­si­tion de Starwood par Marriott, ce système n’était pas protégé par une authen­ti­fi­ca­tion à facteurs multiples.

C’est unique­ment en septembre 2018, lorsque les pirates ont profité de leur accès à Starwood afin de tenter d’ac­cé­der aux données des cartes de crédit des clients de Marriott, que le système d’alerte Guardium a détecté l’at­taque. En effet, ce système surveillait unique­ment les données de cartes de crédit. Le pira­tage d’autres données ne pouvait ainsi pas être repéré par Guardium.

Suite au repé­rage de cet inci­dent, Marriott a activé son Information Security and Privacy Incident Response Plan le 9 septembre 2018 afin de procé­der à une analyse foren­sique. Le 22 novembre 2018, elle a informé l’Information Commissioner’s Office (ICO), l’autorité britan­nique de protec­tion des données, de cette fuite de données. Quelques jours plus tard, Marriott a mis en place un site Internet dédié à l’in­for­ma­tion sur cet inci­dent. En résumé, les pirates ont pu obte­nir des données d’en­vi­ron 339 millions de clients.

Dans sa déci­sion, l’ICO recon­naît en premier lieu qu’elle ne peut pas sanc­tion­ner Marriott pour n’avoir pas mis en place une authen­ti­fi­ca­tion à facteurs multiples. En effet, Marriott avait reçu deux Reports on Compliance avant l’ac­qui­si­tion de Starwood lui certi­fiant qu’un tel procédé avait été mis en place. Elle pouvait ainsi légi­ti­me­ment se fonder sur l’exis­tence d’une telle mesure de sécurité.

Cela étant, l’ICO reproche à Marriott quatre viola­tions distinctes du prin­cipe de sécu­rité du trai­te­ment (art. 32 RGPD).

Premièrement, Marriott n’a pas suffi­sam­ment surveillé les comptes privi­lé­giés. Bien qu’il ne puisse pas lui être repro­ché de ne pas avoir été consciente de l’ab­sence d’une authen­ti­fi­ca­tion à facteurs multiples, la société aurait dû mettre en place d’autres dispo­si­tifs de sécu­rité afin de pouvoir repé­rer les pirates dans le système. Elle aurait notam­ment pu l’ef­fec­tuer avec un suivi des logs. Cela lui aurait permis de consta­ter que les pirates utili­saient des comptes légi­times afin d’ef­fec­tuer des actes non autorisés.

Deuxièmement, Marriott n’a pas suffi­sam­ment surveillé sa base de données. La limite de la surveillance du système d’alerte Guardium, à savoir les données de carte de crédit, démontre que Marriott ne pouvait repé­rer les acti­vi­tés délic­tueuses que de manière limi­tée. Même si une approche fondée sur le risque justi­fie une protec­tion plus impor­tante de ces données, cela ne permet pas pour autant de ne pas proté­ger d’une manière équi­va­lente les autres données personnelles.

Troisièmement, Marriott n’a pas suffi­sam­ment contrôlé ses systèmes critiques. Le groupe hôte­lier aurait notam­ment pu inté­grer une liste blanche, à savoir que seule­ment certaines adresses IP ou certains appa­reils pouvaient avoir accès à certaines parties du système. Selon l’ICO, un tel système devrait être mis en place pour les appa­reils qui peuvent se connec­ter à distance au système infor­ma­tique. Le National Institute of Standards and Technology consi­dère d’ailleurs que les listes blanches sont plus effi­caces que les logi­ciels antivirus.

Quatrièmement, Marriott n’au­rait pas dû cryp­ter unique­ment les données de carte de crédit, mais égale­ment d’autres données, en parti­cu­lier celles rela­tives à l’identité.

Enfin, l’ICO souligne qu’il n’est pas suffi­sant de mettre en place une page Internet et de publier à large échelle un commu­ni­qué de presse afin d’in­for­mer les personnes concer­nées. En effet, l’art. 34 al. 3 let. c RGPD prévoit qu’une « commu­ni­ca­tion publique » n’est mise en œuvre que lorsque l’in­for­ma­tion directe « exige­rait des efforts dispro­por­tion­nés ». Or, en l’es­pèce, l’en­voi de cour­riel aux personnes concer­nées était possible puisque Marriott dispo­sait en prin­cipe des adresses élec­tro­niques des personnes concer­nées. Le commu­ni­qué de presse était ainsi suffi­sant unique­ment pour les personnes dont le groupe hôte­lier ne dispo­sait pas d’adresse électronique.

Dans la seconde (impor­tante) partie de sa déci­sion, l’ICO justi­fie le montant de l’amende imposé à Marriott au sens de l’art. 83 RGPD, à savoir £18’400’000. Pour ce faire, elle procède en quatre étapes.

Elle enlève d’abord les éven­tuels gains résul­tant de la viola­tion du RGPD (il n’y en a pas en l’espèce).

Dans la deuxième et troi­sième étape, l’ICO examine les critères expres­sé­ment mention­nés à l’art. 83 par. 2 RGPD. L’autorité souligne notam­ment que Marriott est complè­te­ment respon­sable de cette fuite de données (art. 83 par. 2 let. d RGPD), qu’elle a entiè­re­ment colla­boré avec l’ICO (art. 83 par. 2 let. f RGPD) et que la fuite concer­nait des données non cryp­tées de passe­port ainsi que des données de carte de crédit (art. 83 par. 2 let. g RGPD).

Dans la quatrième étape, l’ICO examine d’autres facteurs perti­nents, notam­ment le fait que l’amende doit avoir un carac­tère dissua­sif (art. 83 par. 1 in fine RGPD). Dans la cinquième et dernière étape, elle examine les éven­tuels motifs justi­fiant une réduc­tion du montant de l’amende (art. 83 par. 2 let. k RGPD), notam­ment la situa­tion liée à la crise du coronavirus.

Cette déci­sion rappelle que les exigences décou­lant du prin­cipe de sécu­rité (art. 32 RGPD ; art. 7 LPD ; art. 8 nLPD) sont parti­cu­liè­re­ment élevées. Même si une fuite de données ne permet pas néces­sai­re­ment de conclure que ce prin­cipe n’a pas été respecté, il semble que les auto­ri­tés euro­péennes découvrent faci­le­ment, a poste­riori, certaines lacunes dans la sécu­rité infor­ma­tique du traitement.

En droit suisse, les consé­quences d’une viola­tion du prin­cipe de sécu­rité ne nous semblent pas aussi impor­tantes qu’en droit euro­péen. Non seule­ment le Préposé ne peut (et ne pourra) pas impo­ser d’amende, mais les personnes affec­tées par la fuite peine­ront proba­ble­ment à prou­ver un éven­tuel dommage. Cela étant, dans la nLPD, une viola­tion inten­tion­nelle des « exigences mini­males en matière de sécu­rité des données » sera punie péna­le­ment (art. 60 let. c nLPD). Afin de prou­ver l’élé­ment subjec­tif, le minis­tère public devra proba­ble­ment procé­der à la déli­cate distinc­tion entre le dol éven­tuel et la négli­gence consciente ; seul le premier pourra permettre l’ap­pli­ca­tion de la dispo­si­tion pénale perti­nente (cf. ég. Rosenthal David, Das neue Datenschutzgesetz, in : Jusletter 16 novembre 2020, N 195).



Proposition de citation : Célian Hirsch, Condamnation de Marriott pour une fuite de données, 9 avril 2021 in www.swissprivacy.law/68


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Le devoir d'informer l'autorité et le principe nemo tenetur
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law