Selon les dernières estimations, 339 millions de données clients ont été touchées par une cyberattaque en 2014 contre Starwood Hotels et Resorts Worldwide, deux de ses entités depuis septembre 2018.

Ce n’est qu’après cet achat que Marriott a remarqué cette fuite qui a drainé des noms, adresses e-mail, numéros de téléphone, numéros de passeport non chiffrés et des informations sur l’arrivée et le départ des clients.

L'enquête, indique l’ICO, « a révélé que Marriott n'avait pas mis en place des mesures techniques ou organisationnelles appropriées pour protéger les données personnelles sur ses systèmes, comme l'exige le règlement général sur la protection des données (RGPD) ». Les faits se sont déroulés avant le Brexit, mais pour partie après l’entrée en application du RGPD. 

Le montant de l’amende a été fixé à 18,4 millions de livres, soit plus de 20 millions d’euros. Il pouvait être beaucoup plus important, mais a été adapté au regard des mesures prises depuis par l’entreprise pour protéger ce capital informationnel.  

• Lire la décision, susceptible de recours