L’Autorité néerlandaise de protection des données (DPA) a imposé une amende de 475 000 € à Booking.com parce que l’entreprise a mis trop de temps à signaler une violation de données à le DPA. Lorsque l’atteinte à la vie privée s’est produite, les criminels ont obtenu les données personnelles de plus de 4 000 clients. Ils ont également mis la main sur les informations de carte de crédit de près de 300 personnes.
Dans une escroquerie téléphonique ciblant 40 hôtels aux Émirats arabes unis en décembre 2018, les criminels ont persuadé le personnel de l’hôtel de révéler les détails de connexion de leurs comptes dans un système Booking.com. De cette façon, les criminels ont eu accès aux données de 4.109 personnes qui avaient réservé une chambre d’hôtel aux EAU. Les données comprenaient leurs noms, adresses et numéros de téléphone, ainsi que les détails de leur réservation.
Les criminels ont également pu avoir accès aux renseignements sur les cartes de crédit de 283 personnes. Dans 97 cas, le code de sécurité des cartes de crédit a également été obtenu. Les criminels ont également tenté de mettre la main sur les informations de carte de crédit d’autres victimes, en se faisant passer pour du personnel de Booking.com dans des courriels ou au téléphone.
Hameçonnage
Les clients de Booking.com risquaient d’être victimes d’un vol grave, même si les criminels n’ont pas obtenu les renseignements sur la carte de crédit, mais seulement le nom, les coordonnées et les renseignements sur la réservation d’une personne. Après tout, ces détails pourraient être utilisés par les fraudeurs pour des expéditions d’hameçonnage.
En posant dans des courriels ou au téléphone en tant que personnel de l’hôtel, ils ont tenté de voler de l’argent aux gens. Une telle approche peut sembler très crédible si le fraudeur sait exactement quand vous avez fait une réservation et quelle chambre vous avez réservé, puis vous demande de payer pour les nuits en question. De grandes quantités d’argent peuvent être volées de cette façon.
Violation signalée 22 jours trop tard
Booking.com a été informé de la violation de données le 13 janvier 2019, mais ne l’a signalé à le DPA que le 7 février, soit 22 jours trop tard : les violations de données doivent être signalées dans les 72 heures. Le 4 février 2019, Booking.com a informé les clients concernés de la violation. L’entreprise a également pris d’autres mesures pour limiter les dommages, comme offrir d’indemniser les pertes éventuelles.
Il s’agit d’une infraction grave. Malheureusement, une violation de données peut se produire n’importe où, même si vous avez de bonnes mesures de précaution en place. Mais afin de prévenir les dommages aux clients et les attaques futures, vous devez signaler une atteinte à temps.
Il est essentiel d’agir rapidement, notamment pour les victimes de la violation. Après avoir reçu un rapport, le DPA peut ordonner à une entreprise d’avertir immédiatement les personnes touchées. Cela peut empêcher les criminels d’avoir des semaines pour tenter de frauder les clients.
Énorme responsabilité
Une entreprise de cette taille, qui stocke des données personnelles précieuses de millions de clients dans ses systèmes, a une énorme responsabilité. Les clients confient leurs données personnelles à Booking.com. Et l’entreprise doit tout faire pour les protéger correctement.
Cela signifie non seulement assurer une bonne sécurité pour prévenir les atteintes, mais aussi prendre des mesures rapides si le pire devait se produire.
Booking.com ne déposera pas d’objection à la décision imposant l’amende ou ne demandera pas la révision de celle-ci.
Enquête internationale
L’enquête sur la violation de Booking.com avait une portée internationale. La situation impliquait une entreprise internationale avec des clients de divers pays. Le siège social mondial de Booking.com se trouve aux Pays-Bas, et c’est pourquoi le DPA néerlandaise a mené l’enquête. Comme il s’agissait d’une question internationale, le DPA a coordonné l’enquête avec d’autres autorités européennes de contrôle de la protection des données.
Obligation de signaler les violations de données
L’obligation de signaler les violations de données signifie que les entreprises et les autorités publiques doivent immédiatement (et en tout cas dans les 72 heures) informer le DPA en cas de violation grave de données. Dans certains cas, ils doivent également informer les personnes dont les données personnelles ont été divulguées. Les atteintes à la sécurité des données doivent être signalées au service d’assistance sur les atteintes à la sécurité des données de le DPA.
Augmentation explosive du vol de données
En 2020, la DPA a averti qu’elle constatait une augmentation explosive du nombre de hacks visant à voler des données personnelles. Le nombre de rapports en 2020 était de 30 % supérieur à celui de l’année précédente, comme le montre le Rapport sur les atteintes à la sécurité des données de 2020 de le DPA. Le vol de données peut souvent être évité par une sécurité accrue.