Marriott International et sa filiale Starwood Hotels paieront 52 millions de dollars et créeront un programme complet de sécurité de l’information dans le cadre des règlements pour les violations de données qui ont touché plus de 344 millions de clients.
Le règlement exige que Marriott et Starwood mettent en œuvre un programme de sécurité complet et permettent à leurs clients américains de demander la suppression de leurs données personnelles.
De plus, le géant américain de l’hôtellerie a accepté de payer 52 000 000 to à 49 États pour résoudre les réclamations liées aux violations de données.
Les nombreuses violations de données de Marriot
Marriott International est une société hôtelière qui gère et franchise un vaste portefeuille d’hôtels et d’établissements d’hébergement, exploitant plus de 7 000 établissements dans 130 pays.
Starwood était une société américaine d’hôtellerie et de loisirs jusqu’à son acquisition par Marriott en 2016, rendant ce dernier responsable de la sécurité des données et des opérations hôtelières connexes.
L’annonce de la FTC met en évidence trois cas où Marriott n’a pas réussi à protéger les informations de ses clients.
En juin 2014, Starwood a subi une violation de données où les informations de carte de paiement de plusieurs de ses clients ont été exposées. L’atteinte a été découverte et divulguée publiquement 14 mois plus tard, exposant les clients touchés à des risques élevés pendant plus d’un an.
Le deuxième incident concerne des pirates informatiques accédant à 339 millions d’enregistrements de comptes d’invités Starwood, dont 5,25 millions de numéros de passeport non cryptés. Cette violation s’est produite en juillet 2014, mais a été détectée en septembre 2018, laissant à nouveau les clients exposés pendant une période de plusieurs années.
La troisième violation a eu un impact sur Marriott lui-même, où des acteurs malveillants ont accédé aux dossiers de 5,2 millions d’invités en septembre 2018. Les données exposées comprenaient des noms, des adresses électroniques, des adresses postales, des numéros de téléphone, des dates de naissance et des informations sur le compte de fidélité.
Dans ce cas également, Marriott a mis jusqu’en février 2020 pour découvrir le compromis et informer ses clients en conséquence.
Le règlement
La FTC accuse les deux sociétés d’induire les consommateurs en erreur sur leurs pratiques de sécurité des données et a décrit des défaillances telles que de mauvais contrôles de mot de passe, des logiciels obsolètes et un manque de surveillance appropriée de son environnement informatique.
Dans le cadre de l’accord de règlement, Marriott et sa filiale Starwood devront désormais mettre en œuvre les mesures suivantes:
- Établissez un programme complet de sécurité de l’information avec des évaluations par des tiers tous les deux ans et une certification de conformité annuelle pendant 20 ans.
- Limitez la conservation des données à ce qui est nécessaire et informez les clients de la raison de la collecte et de la conservation de leurs données.
- Autorisez les clients à demander des examens des activités non autorisées dans leurs comptes de fidélité et à restaurer les points volés.
- Fournir aux clients un moyen de demander la suppression des informations personnelles liées à leur messagerie électronique ou à leur compte de fidélité.
- Interdire de déformer la manière dont les données personnelles sont traitées et assurer la transparence des pratiques de sécurité.
Marriott a également conclu un règlement distinct annoncé simultanément avec 49 États et le district de Columbia, acceptant de payer 52 000 000 $pour résoudre les allégations et réclamations liées aux incidents de sécurité susmentionnés.