• Accueil
  • RGPD : Booking devra payer 475 000€ pour avoir déclaré une fuite de données hors des délais légaux

Le site de réservation d’hôtels booking.com a notifié l’autorité des données néerlandais au sujet d’une fuite 22 jours après l’avoir découverte. Elle aurait dû le faire 19 jours plus tôt, et ce retard va lui coûter près d’un demi-million d’euros d’amende.

À chaque incident lié aux données personnelles, la même question revient : l’entreprise ne devrait-elle pas être sanctionnée ? Le règlement général sur la protection des données (le fameux RGPD) impose en effet un cadre aux entreprises responsables des données en fuite. Une des mesures les plus connues du texte est le montant maximal de l’amende que peuvent infliger les autorités, qui est défini au nombre le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires mondial du groupe. Sauf que cette amende n’est pas systématique, loin de là.

Des hackers avaient accédé aux données de clients. // Source : Louise Audry pour Numerama

En revanche, les étapes qui précèdent l’amende, moins connues, doivent quant à elles être suivies à la lettre. C’est pour non-respect d’une de ces étapes que l’équivalent néerlandais de la Cnil a infligé une amende de 475 000 euros à booking.com, un des plus gros sites de réservation d’hôtel, basé aux Pays-Bas. The Record Media s’est procuré le texte détaillant cette décision. En cause : l’entreprise a prévenu l’autorité des données d’une fuite le 7 février 2019, 22 jours après s’en être rendu compte, alors que le RGPD impose une notification sous 72 heures.

Interrogée par The Record Media, l’entreprise a reconnu ce retard, et rappelé que sa bonne conduite sur le reste de l’affaire avait poussé l’autorité à réduire le montant de l’amende de 50 000 €.

Booking sanctionné pour son retard plus que pour la fuite

L’incident au centre de l’affaire a eu lieu en décembre 2018 : des hackers ont réussi à dérober les identifiants de connexion de plusieurs employés de 40 hôtels situés aux Émirat-Arabes-Unis. Grâce à ces identifiants, ils ont pu se connecter à la plateforme de Booking côté hôtelier, et collecter les données de 4 109 clients de ces hôtels. Dans le lot se trouvaient des données personnelles dont les noms adresses email ou encore les dates de naissance des clients. Pire, les hackers avaient aussi mis la main sur les données bancaires de 283 personnes, et même le code secret (celui à 3 chiffres, au dos des cartes bancaires) de 91 personnes. C’est parce que la fuite pouvait porter préjudice aux personnes exposées que l’entreprise, en temps que responsable de traitement des données, avait le devoir de notifier l’autorité régulatrice de son pays.

En revanche, si la qualité des données dérobées est élevée, leur volume s’avère plutôt faible. Surtout, la fuite n’est pas liée à une défaillance technique de Booking, mais à un vol d’identifiants de clients, dans lequel les employés de la plateforme ne sont pas impliqués. C’est pourquoi Booking n’est pas sanctionné pour la fuite elle-même, mais bien pour le retard dans sa notification. Plus les autorités et victimes d’une fuite sont prévenues tôt, moins les malfaiteurs auront le temps de leur causer du tort. C’est sur ce point que la Cnil néerlandaise voulait insister par cette décision.

Booking a précisé à The Record Media qu’il avait prévenu tous les clients touchés par la fuite le 4 février 2019, 3 jours avant de prévenir les autorités. Le RGPD ne contraint à prévenir les victimes de la fuite que dans le cas où elle représente un risque « élevé ». Si c’est le cas — par exemple, lorsque les informations bancaires ont fuitées — l’entreprise responsable du traitement de données devra prévenir chaque personne concernée dans les 72 heures suivant la notification aux autorités.

🍪 Coucookie !

Si nous utilisons des cookies et retenons des données anonymisées, c’est pour nous aider à mieux faire notre travail de mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent. Bref, rien qui ne sort de notre activité de média.

Vous pouvez toutefois ajuster les paramètres vous concernant : vous ne verrez pas moins de pub sur Numerama, mais elles seront moins ciblées. En cliquant sur « J’accepte », vous acceptez l’utilisation par Numerama de cookies publicitaires et de mesure d’audience fine.

Read More

0 CommentsClose Comments

laissez un commentaire

Abonnez-vous à la newsletter

Obtenez les derniers messages et articles dans votre e-mail

 

Nous nous engageons à ne pas envoyer de spam :)