Connexion
Abonnez-vous

RGPD : Booking sanctionné pour la notification trop tardive d’une faille de sécurité

RGPD : Booking sanctionné pour la notification trop tardive d’une faille de sécurité

Le 13 avril 2021 à 07h53

La « CNIL » hollandaise a infligé une amende de 475 000 euros au service pour notification tardive d’une fuite de données personnelles, consécutive à une escroquerie téléphonique en décembre 2018. À cette occasion, les données de 4 109 personnes ont été éventées (noms, adresses et numéros de téléphone, ainsi que les détails de leur réservation), outre les informations bancaires de 283 personnes, avec le code de sécurité de la carte bancaire pour une centaine d’entre-elles. 

Booking a été informé de la violation le 13 janvier 2019 mais ne l’a signalée à l’autorité de contrôle que 22 jours plus tard, le 7 février. Bien au-delà, rappelle l’Autorité néerlandaise de protection des données, du standard des 72 heures fixé par le RGPD. Les clients furent, eux, informés le 4 février de la faille et du versement d’un dédommagement. 

« Une entreprise de cette taille, qui stocke dans ses systèmes les données personnelles précieuses de millions de clients, a une énorme responsabilité » relève l’autorité. « Les clients confient leurs données personnelles à Booking.com. Et l'entreprise doit tout mettre en œuvre pour protéger correctement ces données. Cela signifie non seulement assurer une bonne sécurité pour éviter les violations, mais aussi prendre des mesures rapides si le pire devait arriver. » 

Dans une réaction que la société nous a adressée, Booking estime que « l'amende infligée par la DPA néerlandaise concerne spécifiquement la notification tardive de cet incident et n'est pas liée aux pratiques de sécurité de Booking.com, ni à la gestion globale de l'incident en question ».

L’entreprise explique qu’ « un petit nombre d'hôtels ont fourni par inadvertance les détails de connexion de leur compte Booking.com à des escrocs en ligne, mais le code ou les bases de données qui alimentent la plateforme Booking.com n'ont pas été compromis ».

Ainsi, « après avoir reçu les premiers rapports d'activité suspecte, nous avons commencé à travailler pour comprendre et résoudre le problème, mais malheureusement, l'affaire n'a pas été transmise aussi rapidement que nous l'aurions souhaité en interne. Depuis, nous avons pris des mesures supplémentaires pour améliorer la sensibilisation de nos partenaires et de nos employés sur les mesures importantes de protection de la vie privée et les processus de sécurité généraux, tout en travaillant à optimiser davantage la rapidité et l'efficacité de nos canaux de signalement internes. La protection et la sécurité des données personnelles sont et resteront une priorité absolue pour Booking.com »

Le 13 avril 2021 à 07h53

Commentaires (20)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’imagine que le code de sécurité est le CVV de la carte; ce que la norme PCI-DSS interdit formellement d’enregistrer.



En toute logique, conformément aux règles annoncées, Booking devrait se voir révoquer son autorisation de faire des paiements, mais vu le point et le CA, ça a du se réglé par du pognon plutôt.

votre avatar

Ca mettrai dans la merde des milliers de personne et d’entreprises.



Après ca sent surtout les champs stockés dans un commentaire / ticket d’incident plus que dans la base de donnée ce qui changerait la donne.



Voir simplement les enregistrements téléphoniques dans lesquels le client peut dicter son code de sécurité.

votre avatar

Ça ferait prendre conscience à des milliers de personnes et entreprise qu’on ne fait pas n’importe quoi avec les données personnelles, en particulier les données de cartes bancaires.



il y a un moment, il faut punir pour que les gens comprennent qu’ils font des conneries.

votre avatar

Tout à fait d’accord, ces non-conformités systématisés devraient être punis pécuniairement de manière importante (et le RGPD donne le pouvoir de le faire), et dans certains cas faire jouer la responsabilité civile et pénale qui est dans le droit positif.



Qu’un décideur ou président se prenne une peine de prison avec sursit ou un bracelet électronique en cas d’atteinte particulièrement grave et réalisé en toute connaissance de cause serait un symbole fort qui aurait valeur d’exemple.



La situation actuelle me fait penser à cette fameuse phrase pleine de vérité : “Selon que vous serez puissant ou misérable, les jugements des cours vous rendront blanc ou noir”.

votre avatar

Et cette intransigeance doit aussi venir de nous. Ne pas laisser passer le moindre écart.



Personnellement je désactive toujours les “autoriser le contact commercial” et équivalent sur des services en ligne. Dès que je reçois une communication commerciale, c’est remontée au DPO de l’entreprise en question.



Sachant que si le DPO ne répond pas dans le délai imparti d’un mois fixé par le RGPD, c’est escalade à la CNIL. J’ai déjà eu du résultat en ce sens avec des retours par courrier indiquant qu’une action avait été entreprise vis à vis de la société défaillante. Ce ne sont évidemment pas de grosses actions, de simples rappels ou confirmation que le non consentement est appliqué, ce qui reste une petite victoire face à l’impunité.



Quelques cas au hasard :




  • Démarchage commercial de SFR-NC par SMS malgré l’exigence de suppression de mes données personnelles lors du courrier de résiliation à l’époque (pour ce coup là j’ai eu un courrier de la CNIL confirmant le contrôle… le DPO de SFR n’a pas répondu dans le délai imparti)

  • Pratique douteuse de Foncia pour qui il fallait souscrire aux communications commerciales de l’espace copropriétaire pour recevoir les notifications liées à la résidence de la part du syndic. Après signalement au DPO puis à la CNIL, ça a changé. Avec aussi une réponse fort désagréable de ma part vis à vis de commerciaux de l’entreprise qui me proposaient d’évaluer mon bien que je venais à peine d’acheter…

  • Prospectus commercial par mail d’une enseigne, signalement au DPO … qui pour le coup était un ancien collègue :D

  • Récemment mon nouvel assureur, démarchage par téléphone (mais là j’ai eu un doute si les préférences de comm avaient été bien mises) puis récemment SMS, à voir s’il répondra dans le délai d’un mois.

  • ..etc



Le pire est que ce genre d’action ne demande quasi pas de temps .. Il suffit d’aller sur le site de l’entreprise en question pour trouver les coordonnées du DPO puisque c’est une obligation de les afficher. Un mail expliquant le litige, se mettre un rappel dans un mois et voilà. Et si elles sont introuvables (ou uniquement courrier, j’estime cette pratique volontairement dissuasive), escalader directement à la CNIL. Le dépôt de plainte sur le site se fait en quelques clics. Pour ma part, j’applique le zéro tolérance.

votre avatar

Encore plus simple, tu peux te rendre sur Fairmi pour solliciter les DPO des entreprises - ça évite de perdre du temps à chercher dans les conditions générales ;)



https://www.fairmi.fr/



PS : je partage entièrement ton avis, faut rien lâcher même si cela demande beaucoup d’abnégation :)

votre avatar

Pourquoi des sanctions pécuniaires ? Les dirigeants vont payer, ce n’est pas leur argent. Une peine de prison ferme d’un mois ou deux des cadres responsables et du pdg serait plus formateur :transpi:

votre avatar

En dessous de 2 ans les peines sont aménageables sans compter que c’est souvent du sursis (cf Balkany, Sarkozy et Cahuzac). Dit autrement, c’est rare que les cols aillent séjourner en prison dans les faits…

votre avatar

Tu es au fait de ce qui se passe aux Pays Bas en matière de justice ?

votre avatar

Moi non, il se passe quoi ?

votre avatar

Moi non plus, mais celui à qui je demandais ça a l’air de savoir. Booking est une société néerlandaise et il s’agit de la “CNIL” néerlandaise dans la brève.

votre avatar

Au Pays-Bas, la politique pénale a mis en place des petites condamnations fermes, y compris à partir d’une ou deux semaines de prison dès les premières infractions. Cela s’applique aux mineurs et primo délinquants mais peut peut être s’appliquer aux cols blancs.

votre avatar

Ahaha, ok. J’ai cru que tu faisait allusion à des affaires en cours dont je n’aurais pas eu vent :transpi: .

votre avatar

En effet, je répondais dans le cadre français. C’est oubli de ma part.



Mais la phrase Spidermoon ne dit pas si il s’interroge pour une peine en France ou au Pays-Bas.

votre avatar

En tout cas, ça nous a permis de savoir grâce à Equilibrium que ce qu’il demandait serait possible aux Pays Bas. Par contre, je ne sais pas si la “CNIL” de ce pays peux prononcer des peines de prisons. En application du RGPD, ça ne me semble pas possible, seules des amendes en fonction du chiffre d’affaire sont prévues.

votre avatar

Non, une autorité indépendante ne peut pas le faire, mais un dépôt de plainte ou une saisine du procureur oui.



Article L226-2 du Code pénal.
legifrance.gouv.fr République Française

votre avatar

SebGF a dit:


Et cette intransigeance doit aussi venir de nous. Ne pas laisser passer le moindre écart.



Personnellement je désactive toujours les “autoriser le contact commercial” et équivalent sur des services en ligne. Dès que je reçois une communication commerciale, c’est remontée au DPO de l’entreprise en question.


Intéressant.



Et pour le démarchage téléphonique, tu as aussi une technique ?

votre avatar

Ca rentre aussi dans le périmètre de responsabilité du DPO de l’entreprise concernée.

votre avatar

Uniquement dans le cas où l’opposition au démarchage téléphonique a déjà été signifié au démarcheur.



L’UE et donc le RGPD considère que le démarchage téléphonique dépend de l’intérêt légitime. Cela n’empêche pas que l’on puisse s’y opposer.



En France, on a une loi qui interdit explicitement le démarchage quand on est inscrit sur Bloctel dans le code de la consommation et c’est uniquement si l’on est sur bloctel ou si l’on a indiqué dans l’annuaire que l’on ne veut pas de démarchage (code des postes et des communications) qu’il est interdit d’appeler un particulier.



Comme le DPO est régi par le RGPD, il ne me semble pas compétent sur ces 2 derniers cas.

votre avatar

Merci pour cette précision. :chinois:

RGPD : Booking sanctionné pour la notification trop tardive d’une faille de sécurité

Fermer