L’autorité néerlandaise (AP[1]) de protection des données a sanctionné la société Booking[2], en charge du site Internet de réservation Booking.com, pour ne pas avoir déclaré, dans le délai imposé par le RGPD[3], la divulgation de données personnelles.

Cette fuite de données est intervenue suite à un accès illigitime à sa plateforme de réservation, utilisée notamment par les gérants d’hôtels ou de biens immobilier pour consulter et télécharger les détails des réservations des clients.

Un attaquant a réussi, vraisemblablement par ingénierie sociale[4], à obtenir l’accès d’un de ces gérants et l’a utilisé pour télécharger une copie des réservations des clients. Ces informations ont ensuite été utilisées pour entrer en contact avec les clients et tenter d’obtenir leurs numéros de carte bancaire, en prétextant un problème de réservation.

Plus précisément :

  • le 9 janvier 2019, un gérant a été informé qu’un des clients avait été approché par une personne suspicieuse et l’a indiqué par e-mail à Booking ;
  • le 13 janvier 2019, soit 4 jours plus tard, le même gérant a informé Booking qu’un deuxième client avait été approché ;
  • le 20 janvier 2019, soit 7 jours plus tard, le même gérant a informé Booking qu’un troisième client avait été approché ;
  • le 31 janvier 2019, Booking a transmis l’information à son service en charge de la sécurité ;
  • le 4 février 2019, Booking a pris la décision d’informater son service en charge de la vie privée ;
  • le 7 février 2019, Booking a déclaré l’incident aux autorités.

La Commission néerlandaise a indiqué que Booking aurait du effectuer la déclaration d’incident au plus tard le 16 janvier, soit 72 heures[5] après la date où Booking a été informé du deuxième incident, considérant que, si la première notification du gérant ne doit nécessairement être considéré comme un incident sur la sécurité des données, la seconde notification du 13 janvier permet à Booking d’avoir « un degré de certitude raisonnable » que des données aient été compromises.

Au total, 40 logements sont concernés et les données de 4109 personnes ont été compromises.

Une sanction de 475 000 € a été prononcée à l’encontre de la société Booking, soit 0,003 % du chiffre d’affaires[6].

Cette sanction prend en compte le fait que Booking ait pris des mesures pour diminuer l’impact de cet incident, notamment en assistant et conseillant les gérants, en ajoutant des avertissements sur sa plateforme et en proposant d’indemniser les victimes.

Lire :

Notes et références

  1. AP : Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl).
  2. La société qui a fait l’objet de la sanction est la filiale européenne, domiciliée à Amsterdam (Pays-Bas), de Booking Holdings Inc, maison mère de Booking basée aux États-Unis.
  3. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  4. Une attaque par ingénierie sociale consiste à manipuler habilement une personne afin d’obtenir des informations. Dans ce cas, il semblerait qu’une personne a appelé le gérant et s’est fait passer pour un employé de Booking afin d’obtenir son nom d’utilisateur, son mot de passe et le code d’authentification.
  5. Les entreprises doivent déclarer à l’autorité de contrôle la divulgation de données à caractère personnel dans les meilleurs délais, au maximum 72 heures après l’incident. Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».
  6. Même si la décision concerne la filiale européenne de Booking, le chiffre d’affaires de Booking Holdings Inc, la maison mère, a été pris en compte, soit 15,1 milliards de dollars en 2019 (et un résultat de 4,9 milliards de dollars).