Piratage de Fastbooking : Comment respecter la RGPD suite au vol de données de clients d’hôtels ?

La société Fastbooking, filiale d’AccorHotels spécialisée dans les services numériques aux hôteliers, a confirmé avoir été victime d’un piratage au cours duquel des données de réservations de particuliers ont été dérobées. Dashnim Murati, expert juridique de Kyos, explique les exigences de la RGPD auxquelles les hôteliers sont désormais tenus de se conformer en cas de vol de données.

Comme vous le savez sans doute, le Règlement Général sur la Protection des Données (RGPD) a été approuvé le 14 avril 2016 par le Parlement européen. Depuis le 25 mai 2018, ce Règlement s’applique directement à tous les acteurs actifs sur l’Union européenne mais également à certaines entreprises suisses. En effet, la RGPD leur est notamment applicable lorsqu’elles traitent des données de citoyens européens et dans la mesure où ce traitement est lié à l’offre de biens ou de services à ces personnes au sein de l’Union.

La RGPD impose une série d’obligations à tout responsable de traitement de données qui y est soumis. Le responsable de traitement a en particulier l’obligation de notifier à l’autorité de contrôle compétente la violation de données à caractère personnel. La notion de violation est définie par le règlement comme une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

La communication doit se faire dans les meilleurs délais, mais, sauf juste motif, au plus tard dans les 72 heures après avoir pris connaissance de la violation. Dans le cas où le responsable du traitement charge un sous-traitant, comme par exemple un prestataire informatique, de traiter les données à caractère personnel, ce dernier a également l’obligation de notifier dans les meilleurs délais au responsable du traitement, mais non à une autorité de contrôle, toute violation après en avoir pris connaissance.

La communication à l’autorité de contrôle compétente doit contenir un certain nombre d’informations. Il est, en effet, exigé du responsable de traitement qu’il décrive la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés. Il doit également communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, décrire les conséquences probables de la violation de données à caractère personnel, mais aussi décrire les mesures prises ou qu’il propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Ces démarches et le respect des autres obligations imposées par la RGPD peuvent s’avérer relativement contraignantes pour les entreprises et ne pas être facile à mettre en œuvre, ajouté à cela le fait que les sanctions en cas de non-observation peuvent être particulièrement sévères.

C’est pourquoi Kyos vous accompagne et vous aide à vous conformer à toutes ces nouvelles règles.

Pour en savoir plus >>> Contactez-nous