L’ICO du Royaume-Uni a réduit la taille d’une pénalité pour violation de données pour l’hôtellerie Marriott – la faisant passer à 14,4 millions de livres sterling (~ 23,8 millions de dollars) dans un avis de pénalité final en baisse par rapport au chiffre de 99 millions de livres (123 millions de dollars) que le chien de garde avait initialement annoncé. prélèvement en juillet 2019.

L’amende concerne une violation de données subie par le géant de l’hôtellerie qui remonte à 2014 (impliquant le réseau d’hôtels Starwood, qu’il avait acquis en 2015) – mais qui n’a été découverte qu’en novembre 2018.

Les données personnelles impliquées dans la violation différaient entre les individus, mais l’ICO a déclaré qu’elles pouvaient inclure des noms, des adresses e-mail, des numéros de téléphone, des numéros de passeport non cryptés, des informations d’arrivée / départ, le statut VIP des clients et le numéro de membre du programme de fidélité.

Dans le monde, quelque 339 millions d’enregistrements d’invités ont été touchés, mais on pense que moins d’individus ont été compromis en raison du fait que certains des enregistrements étaient des doublons. La violation aurait affecté environ 30 millions d’utilisateurs à travers l’UE, selon une estimation antérieure de l’ICO.

Son enquête a révélé que Marriott n’avait pas mis en place «des mesures techniques ou organisationnelles appropriées pour protéger les données des personnes», comme l’exige le règlement général sur la protection des données (RGPD) paneuropéen. . (La sanction ne couvre que la partie de la violation qui date du 25 mai 2018 – lorsque le RGPD est entré en vigueur.)

Commentant dans une déclaration, la commissaire à l’information du Royaume-Uni, Elizabeth Denham, a déclaré: «Des millions de données ont été affectées par l’échec de Marriott; des milliers de personnes ont contacté une ligne d’assistance et d’autres ont peut-être dû prendre des mesures pour protéger leurs données personnelles parce que l’entreprise avec laquelle ils leur avaient fait confiance ne l’avait pas fait. Lorsqu’une entreprise ne s’occupe pas des données de ses clients, l’impact n’est pas seulement une amende possible, ce qui compte le plus, c’est le public dont elle avait le devoir de protéger les données. « 

Un porte-parole de Marriott nous a dit que la société «regrettait profondément» l’incident, ajoutant dans un communiqué: «Marriott reste attaché à la confidentialité et à la sécurité de …