L’autorité néerlandaise de protection des données a sanctionné la société Booking[1], en charge du site de réservation « Booking.com », pour ne pas avoir déclaré une divulgation de données personnelles conformément aux exigences du RGPD.

La société Booking utilisait une plateforme de réservation en ligne pour permettre aux gérants d’hôtels ou de biens immobiliers de consulter et télécharger les détails des réservations des clients.

Un attaquant a réussi à accéder à cette plateforme en récupérant, vraisemblablement par ingénierie sociale[2], les identifiants d’un des gérants. Il a ensuite téléchargé une copie des réservations des clients puis a utilisé ces informations pour entrer en contact avec eux et tenter d’obtenir leurs numéros de carte bancaire.

Le détail des événéments a été retracé pour permettre à la Commission néerlandaise de déterminer la date exacte à laquelle Booking aurait dû déclarer cet incident :

  • le 9 janvier 2019, un gérant d’un hôtel a été informé qu’un des clients avait été approché par une personne suspicieuse et l’a indiqué par e-mail à Booking ;
  • le 13 janvier 2019, soit 4 jours plus tard, le même gérant a informé Booking qu’un deuxième client avait été approché ;
  • le 20 janvier 2019, soit 7 jours plus tard, le même gérant a informé Booking qu’un troisième client avait été approché ;
  • le 31 janvier 2019, soit 11 jours plus tard, Booking a transmis l’information à son service en charge de la sécurité ;
  • le 4 février 2019, soit 4 jours plus tard, Booking a pris la décision d’informer son service « en charge de la vie privée » ;
  • le 7 février 2019, soit 3 jours plus tard, Booking a déclaré l’incident aux autorités.

La Commission néerlandaise a rappelé à la société Booking que la déclaration d’une violation de données doit intervenir « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance »[3]. Dans ce cas, la Commission considère que la déclaration aurait dû être réalisée au plus tard le 16 janvier, soit 72 heures après la date où Booking a été informé du deuxième incident, estimant que, si la première notification du gérant ne doit pas nécessairement être considéré comme un incident sur la sécurité des données, la seconde notification du 13 janvier permet à Booking d’avoir « un degré de certitude raisonnable » que des données aient été compromises.

Au total, 40 logements sont concernés et les données de 4109 personnes ont été compromises.

Une amende de 475 000 € a été prononcée à l’encontre de la société Booking, soit 0,003 % de son chiffre d’affaires ou 0,01 % de son résultat[4].

Cette sanction prend en compte le fait que Booking ait pris des mesures pour diminuer l’impact de cet incident, notamment en assistant et conseillant les gérants, en ajoutant des avertissements sur sa plateforme et en proposant d’indemniser les victimes.

Lire :

Notes et références

  1. La société qui a fait l’objet de la sanction est la filiale européenne, domiciliée à Amsterdam (Pays-Bas), de Booking Holdings Inc, maison mère de Booking basée aux États-Unis.
  2. Une attaque par ingénierie sociale consiste à manipuler habilement une personne afin d’obtenir des informations. Dans ce cas, il semblerait qu’une personne a appelé le gérant et s’est fait passer pour un employé de Booking afin d’obtenir son nom d’utilisateur, son mot de passe et le code d’authentification.
  3. Le RGPD demande aux responsables de traitement de déclarer à l’autorité de contrôle la divulgation de données à caractère personnel « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » (source : RGPD, article 33-1). Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».
  4. Même si la décision concerne la filiale européenne de Booking, le chiffre d’affaires de la maison mère a été pris en compte, soit 15,1 milliards de dollars en 2019 pour un résultat de 4,9 milliards de dollars.

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données