Information Commissioner’s Office, Penalty Notice COM0804337 du 30 octobre 2020 contre Marriott International Inc. 

En septembre 2018, Marriott découvre que le système infor­ma­tique de Starwood, l’une de ses filiales, a été infil­tré par des pirates. Cette société avait été acquise en 2016. Or, grâce à un web shell, les pirates ont pu accé­der en 2014 déjà au système de Starwood et y instal­ler un remote access trojan.

Contrairement aux assu­rances reçues et à deux Reports on Compliance remis avant l’ac­qui­si­tion de Starwood par Marriott, ce système n’était pas protégé par une authen­ti­fi­ca­tion à facteurs multiples.

C’est unique­ment en septembre 2018, lorsque les pirates ont profité de leur accès à Starwood afin de tenter d’ac­cé­der aux données des cartes de crédit des clients de Marriott, que le système d’alerte Guardium a détecté l’at­taque. En effet, ce système surveillait unique­ment les données de cartes de crédit. Le pira­tage d’autres données ne pouvait ainsi pas être repéré par Guardium.

Suite au repé­rage de cet inci­dent, Marriott a activé son Information Security and Privacy Incident Response Plan le 9 septembre 2018 afin de procé­der à une analyse foren­sique. Le 22 novembre 2018, elle a informé l’Information Commissioner’s Office (ICO), l’autorité britan­nique de protec­tion des données, de cette fuite de données. Quelques jours plus tard, Marriott a mis en place un site Internet dédié à l’in­for­ma­tion sur cet inci­dent. En résumé, les pirates ont pu obte­nir des données d’en­vi­ron 339 millions de clients.

Dans sa déci­sion, l’ICO recon­naît en premier lieu qu’elle ne peut pas sanc­tion­ner Marriott pour n’avoir pas mis en place une authen­ti­fi­ca­tion à facteurs multiples. En effet, Marriott avait reçu deux Reports on Compliance avant l’ac­qui­si­tion de Starwood lui certi­fiant qu’un tel procédé avait été mis en place. Elle pouvait ainsi légi­ti­me­ment se fonder sur l’exis­tence d’une telle mesure de sécurité.

Cela étant, l’ICO reproche à Marriott quatre viola­tions distinctes du prin­cipe de sécu­rité du trai­te­ment (art. 32 RGPD).

Premièrement, Marriott n’a pas suffi­sam­ment surveillé les comptes privi­lé­giés. Bien qu’il ne puisse pas lui être repro­ché de ne pas avoir été consciente de l’ab­sence d’une authen­ti­fi­ca­tion à facteurs multiples, la société aurait dû mettre en place d’autres dispo­si­tifs de sécu­rité afin de pouvoir repé­rer les pirates dans le système. Elle aurait notam­ment pu l’ef­fec­tuer avec un suivi des logs. Cela lui aurait permis de consta­ter que les pirates utili­saient des comptes légi­times afin d’ef­fec­tuer des actes non autorisés.

Deuxièmement, Marriott n’a pas suffi­sam­ment surveillé sa base de données. La limite de la surveillance du système d’alerte Guardium, à savoir les données de carte de crédit, démontre que Marriott ne pouvait repé­rer les acti­vi­tés délic­tueuses que de manière limi­tée. Même si une approche fondée sur le risque justi­fie une protec­tion plus impor­tante de ces données, cela ne permet pas pour autant de ne pas proté­ger d’une manière équi­va­lente les autres données personnelles.

Troisièmement, Marriott n’a pas suffi­sam­ment contrôlé ses systèmes critiques. Le groupe hôte­lier aurait notam­ment pu inté­grer une liste blanche, à savoir que seule­ment certaines adresses IP ou certains appa­reils pouvaient avoir accès à certaines parties du système. Selon l’ICO, un tel système devrait être mis en place pour les appa­reils qui peuvent se connec­ter à distance au système infor­ma­tique. Le National Institute of Standards and Technology consi­dère d’ailleurs que les listes blanches sont plus effi­caces que les logi­ciels antivirus.

Quatrièmement, Marriott n’au­rait pas dû cryp­ter unique­ment les données de carte de crédit, mais égale­ment d’autres données, en parti­cu­lier celles rela­tives à l’identité.

Enfin, l’ICO souligne qu’il n’est pas suffi­sant de mettre en place une page Internet et de publier à large échelle un commu­ni­qué de presse afin d’in­for­mer les personnes concer­nées. En effet, l’art. 34 al. 3 let. c RGPD prévoit qu’une « commu­ni­ca­tion publique » n’est mise en œuvre que lorsque l’in­for­ma­tion directe « exige­rait des efforts dispro­por­tion­nés ». Or, en l’es­pèce, l’en­voi de cour­riel aux personnes concer­nées était possible puisque Marriott dispo­sait en prin­cipe des adresses élec­tro­niques des personnes concer­nées. Le commu­ni­qué de presse était ainsi suffi­sant unique­ment pour les personnes dont le groupe hôte­lier ne dispo­sait pas d’adresse électronique.

Dans la seconde (impor­tante) partie de sa déci­sion, l’ICO justi­fie le montant de l’amende imposé à Marriott au sens de l’art. 83 RGPD, à savoir £18’400’000. Pour ce faire, elle procède en quatre étapes.

Elle enlève d’abord les éven­tuels gains résul­tant de la viola­tion du RGPD (il n’y en a pas en l’espèce).

Dans la deuxième et troi­sième étape, l’ICO examine les critères expres­sé­ment mention­nés à l’art. 83 par. 2 RGPD. L’autorité souligne notam­ment que Marriott est complè­te­ment respon­sable de cette fuite de données (art. 83 par. 2 let. d RGPD), qu’elle a entiè­re­ment colla­boré avec l’ICO (art. 83 par. 2 let. f RGPD) et que la fuite concer­nait des données non cryp­tées de passe­port ainsi que des données de carte de crédit (art. 83 par. 2 let. g RGPD).

Dans la quatrième étape, l’ICO examine d’autres facteurs perti­nents, notam­ment le fait que l’amende doit avoir un carac­tère dissua­sif (art. 83 par. 1 in fine RGPD). Dans la cinquième et dernière étape, elle examine les éven­tuels motifs justi­fiant une réduc­tion du montant de l’amende (art. 83 par. 2 let. k RGPD), notam­ment la situa­tion liée à la crise du coronavirus.

Cette déci­sion rappelle que les exigences décou­lant du prin­cipe de sécu­rité (art. 32 RGPD ; art. 7 LPD ; art. 8 nLPD) sont parti­cu­liè­re­ment élevées. Même si une fuite de données ne permet pas néces­sai­re­ment de conclure que ce prin­cipe n’a pas été respecté, il semble que les auto­ri­tés euro­péennes découvrent faci­le­ment, a poste­riori, certaines lacunes dans la sécu­rité infor­ma­tique du traitement.

En droit suisse, les consé­quences d’une viola­tion du prin­cipe de sécu­rité ne nous semblent pas aussi impor­tantes qu’en droit euro­péen. Non seule­ment le Préposé ne peut (et ne pourra) pas impo­ser d’amende, mais les personnes affec­tées par la fuite peine­ront proba­ble­ment à prou­ver un éven­tuel dommage. Cela étant, dans la nLPD, une viola­tion inten­tion­nelle des « exigences mini­males en matière de sécu­rité des données » sera punie péna­le­ment (art. 60 let. c nLPD). Afin de prou­ver l’élé­ment subjec­tif, le minis­tère public devra proba­ble­ment procé­der à la déli­cate distinc­tion entre le dol éven­tuel et la négli­gence consciente ; seul le premier pourra permettre l’ap­pli­ca­tion de la dispo­si­tion pénale perti­nente (cf. ég. Rosenthal David, Das neue Datenschutzgesetz, in : Jusletter 16 novembre 2020, N 195).