La « CNIL » hollandaise a infligé une amende de 475 000 euros au service pour notification tardive d’une fuite de données personnelles, consécutive à une escroquerie téléphonique en décembre 2018. À cette occasion, les données de 4 109 personnes ont été éventées (noms, adresses et numéros de téléphone, ainsi que les détails de leur réservation), outre les informations bancaires de 283 personnes, avec le code de sécurité de la carte bancaire pour une centaine d’entre-elles.
Booking a été informé de la violation le 13 janvier 2019 mais ne l’a signalée à l’autorité de contrôle que 22 jours plus tard, le 7 février. Bien au-delà, rappelle l’Autorité néerlandaise de protection des données, du standard des 72 heures fixé par le RGPD. Les clients furent, eux, informés le 4 février de la faille et du versement d’un dédommagement.
« Une entreprise de cette taille, qui stocke dans ses systèmes les données personnelles précieuses de millions de clients, a une énorme responsabilité » relève l’autorité. « Les clients confient leurs données personnelles à Booking.com. Et l'entreprise doit tout mettre en œuvre pour protéger correctement ces données. Cela signifie non seulement assurer une bonne sécurité pour éviter les violations, mais aussi prendre des mesures rapides si le pire devait arriver. »
Dans une réaction que la société nous a adressée, Booking estime que « l'amende infligée par la DPA néerlandaise concerne spécifiquement la notification tardive de cet incident et n'est pas liée aux pratiques de sécurité de Booking.com, ni à la gestion globale de l'incident en question ».
L’entreprise explique qu’ « un petit nombre d'hôtels ont fourni par inadvertance les détails de connexion de leur compte Booking.com à des escrocs en ligne, mais le code ou les bases de données qui alimentent la plateforme Booking.com n'ont pas été compromis ».
Ainsi, « après avoir reçu les premiers rapports d'activité suspecte, nous avons commencé à travailler pour comprendre et résoudre le problème, mais malheureusement, l'affaire n'a pas été transmise aussi rapidement que nous l'aurions souhaité en interne. Depuis, nous avons pris des mesures supplémentaires pour améliorer la sensibilisation de nos partenaires et de nos employés sur les mesures importantes de protection de la vie privée et les processus de sécurité généraux, tout en travaillant à optimiser davantage la rapidité et l'efficacité de nos canaux de signalement internes. La protection et la sécurité des données personnelles sont et resteront une priorité absolue pour Booking.com »
