Hôtels Marriott : 123 millions de dollars d’amende après la fuite de données de 2018

Hôtels Marriott : 123 millions $ d’amende après la fuite de données en 2018

L’autorité britannique de protection des données l’ICO (Information Commissioner’s Office) équivalente de la CNIL française, a infligé une amende pour la chaîne hôtelière internationale Marriott, due à la fuite de données personnelles de clients en 2018.


En novembre 2018, Marriott a affirmé que des cybercriminels avaient hacké une base de données contenant des réservations datant de 2014 à 2018.

Les données d’environ 383 millions de clients de ces hôtels auraient été impactées. Après analyses il a pu être établi que les hackeurs ont dérobé des enregistrements de clients, des numéros de passeport et des coordonnées bancaires.


Selon l’ICO, les manquements de sécurité de Mariott violent le Règlement général de l’Union Européenne sur la Protection des Données (RGPD).

Elisabeth Denham, commissaire de l’ICO, a déclaré: « Les données personnelles ont une valeur réelle, de sorte que les entreprises ont l’obligation légale de garantir leur sécurité, comme elles le feraient avec n’importe quel autre actif. Si cela ne se produit pas, nous n’hésiterons pas à prendre des mesures radicales si nécessaire pour protéger les droits des utilisateurs. »


Le groupe Marriott a annoncé son intention de faire appel de cette décision de justice :

« Nous sommes déçus de cette déclaration d’intention de la part de l’ICO, que nous contesterons. […] Nous regrettons profondément que cet incident se soit produit. Nous prenons très au sérieux la confidentialité et la sécurité des informations relatives aux clients et poursuivons nos efforts pour atteindre le niveau d’excellence attendu de nos clients par Marriott. » a déclaré le président et chef de la direction de Marriott International, Arne Sorenson.

Ce dernier a également fait part du fait que le groupe Marriott avait mis fin au système de réservation Starwood compromis plus tôt cette année.


Il s’agit de la deuxième annonce de l’ICO concernant des projets d’amendes à une grande organisation pour violations du RGPD avec l’affaire British Airways.