Recevez chaque jour toute l'actualité du numérique

x

Fuite massive de données à AccorHotels : ce que risque l'entreprise

Une filiale d'AccordHotels, Gekko Group, doit actuellement faire face à une fuite de données sensibles (nom, prénom, carte bancaire…). La brèche a été colmatée depuis mais le spécialiste de la réservation hôtelière B2B pourra être confronté à différentes procédures.  
Twitter Facebook Linkedin Flipboard Email
×

Fuite massive de données à AccorHotels : ce que risque l'entreprise
Fuite massive de données à AccorHotels : ce que risque l'entreprise © Pixabaypixel2013

Gekko Group, une filiale d'AccorHotels, doit faire face à une fuite massive de données clients. Elle a été découverte par deux chercheurs israéliens, Noam Rotem et Ran Locar, assistés par le site web VPNMentor, le 7 novembre 2019. L'incident est dû à un serveur mal paramétré ayant laissé un port de connexion ouvert. Une information confirmée à plusieurs reprises par un porte-parole du spécialiste de la réservation hôtelière B2B. Ainsi, 140 000 données clients seraient dans la nature. La brèche a été colmatée depuis le 13 novembre 2019 mais les conséquences sont encore difficiles à mesurer.

 

"Les fuites de données arrivent très souvent", explique Nataliia Bielova, chercheuse à l'Institut national de recherche en informatique et automatique (Inria), interrogée par L'Usine Digitale. Elles peuvent provenir d'une cyberattaque ou du mauvais paramétrage du système d'information (ensemble des ressources de l'entreprise qui permettent la gestion de l'information). D'après les informations fournies par Gekko Group, la deuxième option est à privilégier. "Il ne faut surtout pas penser qu'une entreprise peut tout protéger. Les systèmes utilisés sont très complexes", poursuit la chercheuse spécialisée dans la vie privée. Mais cette complexité ne dédouane pas l'entreprise concernée. Le droit prévoit ainsi un arsenal de sanctions.

 

Trois conséquences possibles

Une entreprise devant faire face à une fuite de donnée pourra être confrontée à trois types de procédures. Premièrement, les personnes dont les informations ont été perdues peuvent se retourner contre l'entreprise pour réclamer le versement de dommages et intérêts pour préjudice matériel ou moral. Les victimes ont également la possibilité de se regrouper et d'engager une action de groupe en vertu de l'article 80 du Réglementation général sur la protection des données (RGPD). "C'est une procédure qui n'a jamais été utilisée en France sur ce fondement. Nous ne sommes encore loin du modèle américain", indique l'avocate Anne Cousin, contactée par L'Usine Digitale.

 

Deuxièmement, le procureur peut lui-même se saisir de l'affaire pour ouvrir une enquête. "Si l'entreprise concernée s'estime victime d'une fraude, elle peut porter plainte mais elle doit faire très attention. Le procureur va vérifier si la fuite de données n'est pas due à une erreur interne", précise l'avocate en droit des nouvelles technologies. "Avant d'aller devant la justice, il faut faire un audit complet pour voir s'il n'y a pas de faille de sécurité interne imputable à l'entreprise en question", conseille-t-elle.

 

Enfin, la Commission nationale de l'informatique et des libertés (Cnil) pourra également diligenter une enquête afin de vérifier si des dispositions du RGPD n'ont pas été violées par l'entreprise. Si tel est le cas, le gendarme de la vie privée pourra prononcer une amende administrative d'un montant pouvant aller jusqu'à 4% du chiffre d'affaires annuel mondial.

 

Ne conserver que les données utiles

Si ces fuites de données se multiplient, c'est pour une raison toute simple : les entreprises n'appliquent pas totalement le RGPD. "Ce texte européen contient deux principes indispensables pour améliorer la protection des données personnelles", indique Natalia Bielova. La chercheuse fait référence à "la limitation des données" (data minimisation) et à "la limitation des finalités" (purpose limitation). Ces principes poursuivent le même but : ne collecter que les données personnelles "nécessaires au regard des finalités pour lesquelles elles sont traitées" (article 5 du RGPD). "Il faut s'attaquer à la racine du problème : les entreprises récoltent et conservent des données qui ne sont pas forcément utiles et lorsqu'il y a une fuite de données, c'est la panique", regrette Natalia Bielova.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media