RGPD en Europe, Sanctions
Booking.com condamné à 475 000 €
Pour ne pas avoir respecter les délais de 72h pour déclarer à l’autorité de contrôle une fuite de données, Booking.com a été sanctionné.
Booking.com, site de réservation d’hôtels basé aux Pays Bas a notifié l’autorité néerlandaise, l’équivalent de la CNIL, d’une fuite de données, seulement 22 jours après l’avoir découverte au lieu des 72h requises.
Ce non-respect d’une des étapes des procédures mises en place en cas de faille de sécurité a conduit l’autorité à infliger une amende de 475 000 euros à booking.com.
Rappel des faits :
- Décembre 2018, des hackers dérobent les identifiants de connexion d’employés de 40 hôtels situés aux Émirat-Arabes-Unis. Avec ces identifiants, ils se sont connectés à la plateforme de Booking et ont collecté les données de 4 109 clients de ces hôtels.
Ces données personnelles sont leurs noms, adresses, email et dates de naissance ainsi que les données bancaires de 283 personnes, et le cryptogramme (code à 3 chiffres, au dos des cartes bancaires) de 91 personnes. - Le 4 février 2019, Booking.com prévient les clients concernés, soit 3 jours avant de prévenir les autorités de contrôle
- Le 7 février 2019, soit 22 jours après s’en être rendu compte, l’entreprise prévient l’autorité d’une fuite des données.
Ce qui aurait dû être fait, en respect du RGPD :
- Notification de l’autorité de contrôle au plus tard dans les 72h qui suivent la découverte de l’incident : Booking.com en qualité de responsable de traitement se devait de respecter ces délais pour notifier l’autorité régulatrice de son pays
- Notification de chaque personne concernée par l’incident (en cas de risque élevé) dans les 72h suivant la notification aux autorités
Ce délai court peut permettre à l’autorité compétente et aux victimes de prendre les mesures nécessaires visant à limiter les préjudices éventuels.
Booking a rédigé le communiqué suivant :
« L’amende infligée par la DPA néerlandaise concerne spécifiquement la notification tardive de cet incident et n’est pas liée aux pratiques de sécurité de Booking.com, ni à la gestion globale de l’incident en question. Un petit nombre d’hôtels ont fourni par inadvertance les détails de connexion de leur compte Booking.com à des escrocs en ligne, mais le code ou les bases de données qui alimentent la plateforme Booking.com n’ont pas été compromis. Après avoir reçu les premiers rapports d’activité suspecte, nous avons commencé à travailler pour comprendre et résoudre le problème, mais malheureusement, l’affaire n’a pas été transmise aussi rapidement que nous l’aurions souhaité en interne. Depuis, nous avons pris des mesures supplémentaires pour améliorer la sensibilisation de nos partenaires et de nos employés sur les mesures importantes de protection de la vie privée et les processus de sécurité généraux, tout en travaillant à optimiser davantage la rapidité et l’efficacité de nos canaux de signalement internes. La protection et la sécurité des données personnelles sont et resteront une priorité absolue pour Booking.com. »