Booking écope d'une amende de 475 000 euros à la suite d'une violation de données personnelles
Booking a trop attendu avant de signaler une fuite de données personnelles, conclut la Cnil néerlandaise en lui infligeant une amende de 475 000 euros. Lors de cet incident, les cybercriminels avaient réussi à dérober les noms, prénoms, adresses postales et numéros de téléphone de 4000 clients de la plateforme de réservation.
L'Autoriteit Persoonsgegevens (AP), l'équivalent de la Cnil aux Pays-Bas, inflige une amende de 475 000 euros à Booking qui a tardé à signaler une violation de données personnelles. Aucun appel n'a été formé pour contester cette sanction.
72 heures au plus tard
L'obligation de notification, prévue par l'article 33 du Règlement général sur la protection des données (RGDP), doit intervenir le plus rapidement possible dans un délai de 72 heures maximum.
Or, Booking n'a pas prévenu à temps l'AP, autorité compétente car le siège de Booking est situé à Amsterdam aux Pays-Bas. La plateforme de réservation a attendu plus d'un mois après avoir identifié la fuite de données par laquelle des criminels ont volé les informations de plus de 4000 clients. Ils ont également obtenu les coordonnées des cartes de crédit de près de 300 victimes.
Tentatives de phishing
Ces données volées, incluant le nom, prénom, adresse postale et numéro de téléphone, ont servi pour procéder à du phishing. "En contactant l'hôtel par email ou par téléphone, les criminels ont essayé de soustraire de l'argent aux victimes (…)", détaille Monique Verdier, la vice-présidente de la Cnil néerlandaise, dans un communiqué.
Booking a été informé de cette violation de données le 13 janvier 2019 mais ne l'a signalé que le 7 février 2019, soit avec 22 jours de retard. Les clients ont été informés le 4 février. "Ce délai est très important, déclare Monique Verdier. En premier lieu, pour les victimes. L'AP peut exiger à l'entreprise de les avertir immédiatement après avoir reçu la notification. Cela empêche les criminels de poursuivre leurs tentatives de fraudes pendant des semaines."
Comme le RGPD le prévoit, l'AP a été l'autorité enquêtrice mais le quantum de la peine a été établi collégialement avec les autres autorités de protection des données personnelles en Europe.
Des sanctions pour défaut de protection se multiplient
Il est de plus en plus récurrent qu'une entreprise soit condamnée pour avoir insuffisamment protégé les données personnelles. C'est le cas du groupe hôtelier Marriott qui s'est vu infligé une amende d'environ 20 millions d'euros en novembre dernier pour des raisons similaires au litige de Booking.
Quelques semaines auparavant, c'était la compagnie aérienne British Airways qui a été condamnée par l'Information Commissioner's Office (ICO), l'équivalent de la Cnil au Royaume-Uni, à une amende de 22 millions d'euros pour un vol de données personnelles intervenu en 2018. A l'origine, le montant de la sanction avait été fixé à 184 millions de livres sterling, soit environ 202 millions d'euros. Or, les difficultés financières de l'entreprise dues en partie à la crise sanitaire justifiaient cette réduction de 180 millions d'euros, d'après l'ICO.
SUR LE MÊME SUJET
Booking écope d'une amende de 475 000 euros à la suite d'une violation de données personnelles
Tous les champs sont obligatoires
0Commentaire
Réagir