Pays-Bas : 450 000€ d’amende pour Booking.com suite à une notification tardive de violation de données

L’autorité néerlandaise de protection des données (APD) a infligé une amende de 475 000 euros à Booking.com parce que la société a notifié une violation de données 22 jours après en avoir pris connaissance, au lieu des 72 heures requises.

Lorsque la violation s’est produite, les attaquants ont eu accès aux données personnelles de plus de 4 000 clients, y compris les informations relatives aux cartes de paiement de près de 300 personnes.

Contexte

Dans le cadre d’une escroquerie téléphonique visant 40 hôtels aux Émirats Arabes Unis en décembre 2018, les criminels ont réussi à obtenir du personnel de l’hôtel les détails de connexion de leurs comptes au système Booking.com.

Les criminels ont ensuite accédé aux données personnelles de 4 109 personnes qui avaient réservé une chambre d’hôtel aux Émirats arabes unis (par exemple, leurs noms, adresses et numéros de téléphone et les détails de leur réservation).

Les malfaiteurs ont également pu accéder aux informations relatives aux cartes de crédit de 283 personnes et au code de sécurité de 97 d’entre elles.

Ils ont également tenté d’obtenir les informations relatives aux cartes de crédit d’autres victimes, en se faisant passer pour des membres du personnel de Booking.com dans des courriels ou par téléphone.

La violation de données a été signalée avec 22 jours de retard

Booking.com a été informé de la violation de données le 13 janvier 2019, mais ne l’a signalée à l’APD que le 7 février, soit avec 22 jours de retard. En effet, le délai pour signaler les violations de données est de 72 heures en vertu du RGPD.

Le 4 février 2019, Booking.com a informé les clients concernés de la violation. L’entreprise a également pris d’autres mesures pour limiter les dommages, notamment en proposant de compenser les pertes éventuelles.

Enquête internationale

Le siège mondial de Booking.com se trouve aux Pays-Bas, c’est pourquoi l’APD néerlandaise a mené l’enquête et l’a coordonnée avec d’autres autorités européennes de protection des données.

Bien que les événements qui ont conduit à la violation des données se soient produits pour la première fois aux Émirats arabes unis, nous supposons qu’ils concernent des personnes qui ont effectué leur réservation sur un site Web de Booking.com dans l’Union européenne.

Booking.com a déclaré qu’il ne s’opposera pas à la décision imposant l’amende et ne demandera pas de révision de celle-ci.

Commentaires du représentant de l’autorité

Selon la vice-présidente de l’autorité de contrôle, Mme Verdier, « une entreprise de cette taille, qui stocke dans ses systèmes les précieuses données personnelles de millions de clients, a une énorme responsabilité. Les clients confient leurs données personnelles à Booking.com. Et l’entreprise doit faire tout ce qu’elle peut pour protéger correctement ces données. Cela signifie non seulement assurer une bonne sécurité pour prévenir les violations, mais aussi prendre des mesures rapides si le pire devait arriver. »

Augmentation importante des vols de données (+ 30%)

L’APD néerlandaise en a profité pour avertir qu’en 2020, elle a constaté une augmentation importante du nombre de piratages visant à voler des données personnelles (30 % de plus que l’année précédente).

Commentaires

Compte tenu de cette augmentation explosive des violations de données ces derniers temps, on peut se demander si les obligations du RGPD concernant la notification des violations de données ont contribué à assurer une plus grande conformité ou si, au contraire, elles ont stimulé l’appétit des hackers qui savent désormais qu’ils peuvent nuire aux organisations encore plus qu’avant.

Peut-être faut-il trouver un juste équilibre, car les pirates qui attaquent le système d’une entreprise ne sont ni identifiés ni sanctionnés, tandis que les entreprises négligentes sont publiquement sanctionnées.

Pays-Bas : 450 000€ d’amende pour Booking.com suite à une notification tardive de violation de données
Étiqueté avec :