À chaque incident lié aux données personnelles, la même question revient : l’entreprise ne devrait-elle pas être sanctionnée ? Le règlement général sur la protection des données (le fameux RGPD) impose en effet un cadre aux entreprises responsables des données en fuite. Une des mesures les plus connues du texte est le montant maximal de l’amende que peuvent infliger les autorités, qui est défini au nombre le plus élevé entre 20 millions d’euros et 4% du chiffre d’affaires mondial du groupe. Sauf que cette amende n’est pas systématique, loin de là.
Des hackers avaient accédé aux données de clients. // Source : Louise Audry pour Numerama
En revanche, les étapes qui précèdent l’amende, moins connues, doivent quant à elles être suivies à la lettre. C’est pour non-respect d’une de ces étapes que l’équivalent néerlandais de la Cnil a infligé une amende de 475 000 euros à booking.com, un des plus gros sites de réservation d’hôtel, basé aux Pays-Bas. The Record Media s’est procuré le texte détaillant cette décision. En cause : l’entreprise a prévenu l’autorité des données d’une fuite le 7 février 2019, 22 jours après s’en être rendu compte, alors que le RGPD impose une notification sous 72 heures.
Interrogée par The Record Media, l’entreprise a reconnu ce retard, et rappelé que sa bonne conduite sur le reste de l’affaire avait poussé l’autorité à réduire le montant de l’amende de 50 000 €.
Booking sanctionné pour son retard plus que pour la fuite
L’incident au centre de l’affaire a eu lieu en décembre 2018 : des hackers ont réussi à dérober les identifiants de connexion de plusieurs employés de 40 hôtels situés aux Émirat-Arabes-Unis. Grâce à ces identifiants, ils ont pu se connecter à la plateforme de Booking côté hôtelier, et collecter les données de 4 109 clients de ces hôtels. Dans le lot se trouvaient des données personnelles dont les noms adresses email ou encore les dates de naissance des clients. Pire, les hackers avaient aussi mis la main sur les données bancaires de 283 personnes, et même le code secret (celui à 3 chiffres, au dos des cartes bancaires) de 91 personnes. C’est parce que la fuite pouvait porter préjudice aux personnes exposées que l’entreprise, en temps que responsable de traitement des données, avait le devoir de notifier l’autorité régulatrice de son pays.
En revanche, si la qualité des données dérobées est élevée, leur volume s’avère plutôt faible. Surtout, la fuite n’est pas liée à une défaillance technique de Booking, mais à un vol d’identifiants de clients, dans lequel les employés de la plateforme ne sont pas impliqués. C’est pourquoi Booking n’est pas sanctionné pour la fuite elle-même, mais bien pour le retard dans sa notification. Plus les autorités et victimes d’une fuite sont prévenues tôt, moins les malfaiteurs auront le temps de leur causer du tort. C’est sur ce point que la Cnil néerlandaise voulait insister par cette décision.
Booking a précisé à The Record Media qu’il avait prévenu tous les clients touchés par la fuite le 4 février 2019, 3 jours avant de prévenir les autorités. Le RGPD ne contraint à prévenir les victimes de la fuite que dans le cas où elle représente un risque « élevé ». Si c’est le cas — par exemple, lorsque les informations bancaires ont fuitées — l’entreprise responsable du traitement de données devra prévenir chaque personne concernée dans les 72 heures suivant la notification aux autorités.
Booking a transmis son communiqué à Cyberguerre : « L’amende infligée par la DPA néerlandaise concerne spécifiquement la notification tardive de cet incident et n’est pas liée aux pratiques de sécurité de Booking.com, ni à la gestion globale de l’incident en question. Un petit nombre d’hôtels ont fourni par inadvertance les détails de connexion de leur compte Booking.com à des escrocs en ligne, mais le code ou les bases de données qui alimentent la plateforme Booking.com n’ont pas été compromis. Après avoir reçu les premiers rapports d’activité suspecte, nous avons commencé à travailler pour comprendre et résoudre le problème, mais malheureusement, l’affaire n’a pas été transmise aussi rapidement que nous l’aurions souhaité en interne. Depuis, nous avons pris des mesures supplémentaires pour améliorer la sensibilisation de nos partenaires et de nos employés sur les mesures importantes de protection de la vie privée et les processus de sécurité généraux, tout en travaillant à optimiser davantage la rapidité et l’efficacité de nos canaux de signalement internes. La protection et la sécurité des données personnelles sont et resteront une priorité absolue pour Booking.com. »
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
