La chaine d’hôtellerie Marriott (propriétaire notamment des chaines d’hôtels W, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton et Design Hotels) a annoncé vendredi 30 novembre 2018 avoir subi une violation massive de données personnelles.

Les données de 500 millions de personnes ayant séjourné dans un des hôtels du groupe au cours des quatre dernières années ont ainsi fait l’objet d’une fuite, sans que Marriott ait pu indiquer avec certitude le nombre exact d’attaques subies.

Il s’agit du troisième plus grand piratage informatique répertorié, derrière deux cas similaires survenus au sein de Yahoo (un premier piratage avait atteint en 2014 les données de 500 millions d’utilisateurs et donné lieu à un recours collectif récemment conclue par le paiement par Yahoo de 85 millions de dollars – un second piratage avait donné lieu en 2013 à la violation des données de près de trois milliards d’utilisateurs).

Deux plaintes ont étaient déposées contre Marriott, l’une dans l’Oregon, la seconde dans le Maryland.

Par le mécanisme du recours collectif, les plaignants de l’Oregon réclament la somme de 12,5 milliards de dollars au nom des 500 millions de personnes potentiellement concernées, soit 25 dollars par personne.

La procédure engagée sera longue, et il est probable que de nouveaux recours collectifs seront déposés au cours des prochaines semaines. La plupart de ces poursuites seront cependant fusionnées pour simplifier les procédures judiciaires.

Une telle action serait-elle possible en France ?

Le recours collectif, ou action de groupe, a été introduit en France par la loi n° 2014-344 du 17 mars 2014 relative à la consommation, dite Loi Hamon. Il s’agit d’une procédure de poursuite collective qui permet à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir en justice. Tout d’abord dédiée à la réparation des dommages économiques issus de pratiques anticoncurrentielles et de la vente de biens et services, elle a été étendue aux questions de santé, de discrimination et d’environnement.

La loi du 20 juin 2018 a étendu le bénéfice de l’action de groupe à la protection des données. Ainsi, la loi Informatique et Libertés du 6 janvier 1978 prévoit désormais que plusieurs personnes physiques placées dans une situation similaire et qui subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD peuvent exercer une action de groupe devant la juridiction compétente. Cette action peut être engagée afin de faire cesser le manquement constaté, d’obtenir réparation des préjudices matériels et moraux ou pour ces deux objectifs.

L’action est cependant encadrée par deux critères essentiels : la violation des données personnelles doit être postérieure à l’entrée en vigueur du RGPD (pour rappel, le 25 mai 2018) et l’action doit être conduite par une association déclarée depuis cinq ans et ayant pour objet la protection de la vie privée et la protection des données à caractère personnel (les associations de défense des consommateurs agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs et les organisations syndicales de salariés ou de fonctionnaires représentatives, lorsque le traitement affecte les intérêts des personnes que leurs les chargent de défendre, sont également éligibles).