La plateforme de réservations d’hôtels Gekko Group, filiale du groupe Accor, a été victime d’une erreur de paramétrage laissant ouvert un des accès au serveur et exposant ainsi les données confidentielles de plusieurs milliers de voyageurs. L’information rapportée par le site d’informations cnet.com est également confirmée par Le Parisien.
La base de données appartient au groupe Gekko, une filiale d’AccorHotels, la plus grande société d’hôtellerie d’Europe, basée en France. Le groupe Gekko gère les voyages d’affaires et les voyages de luxe avec plus de 600 000 hôtels à travers le monde.
La base de données exposée contenait des informations sur les voyageurs telles que les noms, les adresses domiciliaires, l’hébergement, les informations personnelles des enfants, les numéros de cartes de crédit et des milliers de mots de passe stockés en texte clair, ont déclaré les chercheurs de la sécurité mercredi. Selon des propos rapportés par Le Parisien, la base de données stocke des informations sur 130 à 140 000 clients, chacun d’entre eux pouvant être un individu, un groupe de voyageurs ou une organisation.
Le PDG du groupe Gekko, a déclaré à cnet.com que la société avait sécurisé la base de données et lancé une enquête interne sur ses systèmes informatiques : « Nous reconnaissons la gravité de cette affaire et confirmons qu’aucune utilisation malveillante ou abusive des données n’a été signalée à ce jour. »
La société a déclaré qu’elle informait ses clients concernés et que moins de 1 000 numéros de carte de crédit non cryptés étaient stockés dans la base de données. Mais plus de numéros de carte de crédit auraient pu être vus dans les scans de documents stockés sur le serveur.
Cet incident majeur jette le trouble sur les acteurs de la chaîne de distribution des déplacements professionnels. Les décideurs, acheteurs et travel managers qui se méfient déjà des risques liés aux problématiques de la loi RGPD seront encore plus méfiant envers les acteurs qui stockent des informations personnelles sur leur voyageur. Voilà un problème qui ne va pas aider les nouveaux venus.
Sur le plan légal, les infractions au RGPD exposent le contrevenant à des pénalités pouvant atteindre 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Il est donc évident que les appels d’offres des acheteurs doivent prendre en compte les limites de responsabilité quant aux risques liés au RGPD (tant sur le plan commercial que sur le plan contractuel).
