Vol de données : Marriott paie 52 millions de dollars d’amende et s’engage à renforcer sa sécurité

Le groupe hôtelier américain a subi depuis 2014 plusieurs fuites de données, impactant au total plus de 300 millions de clients à travers le monde. Des numéros de passeport et de carte bancaire avaient notamment été subtilisés.

La FTC, gendarme américain du droit de la consommation et de la concurrence, a annoncé le 9 octobre prendre plusieurs mesures à l’encontre du groupe hôtelier Marriott International et de sa filiale Starwood Hotels & Resorts après plusieurs fuites de données. La firme américaine a ainsi accepté de payer une amende de 52 millions de dollars (47,4 millions d’euros) et de mettre en place un programme solide de sécurité des données.

8,6 millions de numéros de carte bancaire, 5,2 millions de numéros de passeport

L’agence gouvernementale et un groupe de procureurs généraux de 49 États américains ont mené des enquêtes sur trois violations de données ayant eu lieu entre 2014 et 2020. Les pirates informatiques avaient alors accédé, entre 2014 et 2018, à l’outil de gestion des réservations de Starwood Hotels & Resorts (qui comprend notamment la marque Westin), renfermant des données sensibles de 383 millions de clients, dont 8,6 millions de numéros de carte bancaire et 5,25 millions de numéros de passeport. Le FBI soupçonnait alors des hackers travaillant pour le compte du ministère chinois de la Sécurité.En 2020, Marriott avait signalé une nouvelle fuite de données, au cours de laquelle les hackers avaient utilisé des identifiants de connexion de deux employés d’un établissement franchisé. L’entreprise estimait alors que les données personnelles de 5,2 millions de clients avaient été subtilisées.

Les clients américains pourront demander la suppression de leurs données personnelles

La FTC a estimé que ces violations de données étaient dues à une sécurisation trop faible des systèmes informatiques du groupe, avec des contrôles sur les mots de passe inappropriés et un manque de surveillance du réseau. Le groupe hôtelier, présent dans 130 pays, s’engage à “mettre en œuvre un programme solide de sécurité des données”et à permettre à ce que ses clients américains demandent la suppression de leurs données personnelles associées à leur adresse e-mail et à leur compte fidélité.

D’autres mesures ont été exigées, comme la conservation des données personnelles pendant une durée “raisonnablement nécessaire” et une certification annuelle de la conformité du groupe auprès de la FTC pendant vingt ans. Marriott devra enfin permettre aux consommateurs de demander l’examen des activités non autorisées sur leur compte fidélité.