La « CNIL » hollandaise a infligé une amende de 475 000 euros au service pour notification tardive d’une fuite de données personnelles, consécutive à une escroquerie téléphonique en décembre 2018. À cette occasion, les données de 4 109 personnes ont été éventées (noms, adresses et numéros de téléphone, ainsi que les détails de leur réservation), outre les informations bancaires de 283 personnes, avec le code de sécurité de la carte bancaire pour une centaine d’entre-elles.
Booking a été informé de la violation le 13 janvier 2019 mais ne l’a signalée à l’autorité de contrôle que 22 jours plus tard, le 7 février. Bien au-delà, rappelle l’Autorité néerlandaise de protection des données, du standard des 72 heures fixé par le RGPD. Les clients furent, eux, informés le 4 février de la faille et du versement d’un dédommagement.
« Une entreprise de cette taille, qui stocke dans ses systèmes les données personnelles précieuses de millions de clients, a une énorme responsabilité » relève l’autorité. « Les clients confient leurs données personnelles à Booking.com. Et l'entreprise doit tout mettre en œuvre pour protéger correctement ces données. Cela signifie non seulement assurer une bonne sécurité pour éviter les violations, mais aussi prendre des mesures rapides si le pire devait arriver. »
Dans une réaction que la société nous a adressée, Booking estime que « l'amende infligée par la DPA néerlandaise concerne spécifiquement la notification tardive de cet incident et n'est pas liée aux pratiques de sécurité de Booking.com, ni à la gestion globale de l'incident en question ».
L’entreprise explique qu’ « un petit nombre d'hôtels ont fourni par inadvertance les détails de connexion de leur compte Booking.com à des escrocs en ligne, mais le code ou les bases de données qui alimentent la plateforme Booking.com n'ont pas été compromis ».
Ainsi, « après avoir reçu les premiers rapports d'activité suspecte, nous avons commencé à travailler pour comprendre et résoudre le problème, mais malheureusement, l'affaire n'a pas été transmise aussi rapidement que nous l'aurions souhaité en interne. Depuis, nous avons pris des mesures supplémentaires pour améliorer la sensibilisation de nos partenaires et de nos employés sur les mesures importantes de protection de la vie privée et les processus de sécurité généraux, tout en travaillant à optimiser davantage la rapidité et l'efficacité de nos canaux de signalement internes. La protection et la sécurité des données personnelles sont et resteront une priorité absolue pour Booking.com »
Commentaires (20)
#1
J’imagine que le code de sécurité est le CVV de la carte; ce que la norme PCI-DSS interdit formellement d’enregistrer.
En toute logique, conformément aux règles annoncées, Booking devrait se voir révoquer son autorisation de faire des paiements, mais vu le point et le CA, ça a du se réglé par du pognon plutôt.
#1.1
Ca mettrai dans la merde des milliers de personne et d’entreprises.
Après ca sent surtout les champs stockés dans un commentaire / ticket d’incident plus que dans la base de donnée ce qui changerait la donne.
Voir simplement les enregistrements téléphoniques dans lesquels le client peut dicter son code de sécurité.
#1.2
Ça ferait prendre conscience à des milliers de personnes et entreprise qu’on ne fait pas n’importe quoi avec les données personnelles, en particulier les données de cartes bancaires.
il y a un moment, il faut punir pour que les gens comprennent qu’ils font des conneries.
#1.3
Tout à fait d’accord, ces non-conformités systématisés devraient être punis pécuniairement de manière importante (et le RGPD donne le pouvoir de le faire), et dans certains cas faire jouer la responsabilité civile et pénale qui est dans le droit positif.
Qu’un décideur ou président se prenne une peine de prison avec sursit ou un bracelet électronique en cas d’atteinte particulièrement grave et réalisé en toute connaissance de cause serait un symbole fort qui aurait valeur d’exemple.
La situation actuelle me fait penser à cette fameuse phrase pleine de vérité : “Selon que vous serez puissant ou misérable, les jugements des cours vous rendront blanc ou noir”.
#1.4
Et cette intransigeance doit aussi venir de nous. Ne pas laisser passer le moindre écart.
Personnellement je désactive toujours les “autoriser le contact commercial” et équivalent sur des services en ligne. Dès que je reçois une communication commerciale, c’est remontée au DPO de l’entreprise en question.
Sachant que si le DPO ne répond pas dans le délai imparti d’un mois fixé par le RGPD, c’est escalade à la CNIL. J’ai déjà eu du résultat en ce sens avec des retours par courrier indiquant qu’une action avait été entreprise vis à vis de la société défaillante. Ce ne sont évidemment pas de grosses actions, de simples rappels ou confirmation que le non consentement est appliqué, ce qui reste une petite victoire face à l’impunité.
Quelques cas au hasard :
Le pire est que ce genre d’action ne demande quasi pas de temps .. Il suffit d’aller sur le site de l’entreprise en question pour trouver les coordonnées du DPO puisque c’est une obligation de les afficher. Un mail expliquant le litige, se mettre un rappel dans un mois et voilà. Et si elles sont introuvables (ou uniquement courrier, j’estime cette pratique volontairement dissuasive), escalader directement à la CNIL. Le dépôt de plainte sur le site se fait en quelques clics. Pour ma part, j’applique le zéro tolérance.
#1.5
Encore plus simple, tu peux te rendre sur Fairmi pour solliciter les DPO des entreprises - ça évite de perdre du temps à chercher dans les conditions générales ;)
https://www.fairmi.fr/
PS : je partage entièrement ton avis, faut rien lâcher même si cela demande beaucoup d’abnégation :)
#2
Pourquoi des sanctions pécuniaires ? Les dirigeants vont payer, ce n’est pas leur argent. Une peine de prison ferme d’un mois ou deux des cadres responsables et du pdg serait plus formateur
#2.1
En dessous de 2 ans les peines sont aménageables sans compter que c’est souvent du sursis (cf Balkany, Sarkozy et Cahuzac). Dit autrement, c’est rare que les cols aillent séjourner en prison dans les faits…
#2.2
Tu es au fait de ce qui se passe aux Pays Bas en matière de justice ?
#2.3
Moi non, il se passe quoi ?
#2.4
Moi non plus, mais celui à qui je demandais ça a l’air de savoir. Booking est une société néerlandaise et il s’agit de la “CNIL” néerlandaise dans la brève.
#2.5
Au Pays-Bas, la politique pénale a mis en place des petites condamnations fermes, y compris à partir d’une ou deux semaines de prison dès les premières infractions. Cela s’applique aux mineurs et primo délinquants mais peut peut être s’appliquer aux cols blancs.
#2.6
Ahaha, ok. J’ai cru que tu faisait allusion à des affaires en cours dont je n’aurais pas eu vent
.
#2.7
En effet, je répondais dans le cadre français. C’est oubli de ma part.
Mais la phrase Spidermoon ne dit pas si il s’interroge pour une peine en France ou au Pays-Bas.
#2.8
En tout cas, ça nous a permis de savoir grâce à Equilibrium que ce qu’il demandait serait possible aux Pays Bas. Par contre, je ne sais pas si la “CNIL” de ce pays peux prononcer des peines de prisons. En application du RGPD, ça ne me semble pas possible, seules des amendes en fonction du chiffre d’affaire sont prévues.
#2.9
Non, une autorité indépendante ne peut pas le faire, mais un dépôt de plainte ou une saisine du procureur oui.
Article L226-2 du Code pénal.
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417984/
#3
Intéressant.
Et pour le démarchage téléphonique, tu as aussi une technique ?
#3.1
Ca rentre aussi dans le périmètre de responsabilité du DPO de l’entreprise concernée.
#3.2
Uniquement dans le cas où l’opposition au démarchage téléphonique a déjà été signifié au démarcheur.
L’UE et donc le RGPD considère que le démarchage téléphonique dépend de l’intérêt légitime. Cela n’empêche pas que l’on puisse s’y opposer.
En France, on a une loi qui interdit explicitement le démarchage quand on est inscrit sur Bloctel dans le code de la consommation et c’est uniquement si l’on est sur bloctel ou si l’on a indiqué dans l’annuaire que l’on ne veut pas de démarchage (code des postes et des communications) qu’il est interdit d’appeler un particulier.
Comme le DPO est régi par le RGPD, il ne me semble pas compétent sur ces 2 derniers cas.
#3.3
Merci pour cette précision.