Booking.com prévient ses clients d'un accès non autorisé : ce que rappellent les articles 33 et 34 du RGPD

19/4/26
👈 les autres actualités

Booking.com a prévenu le 13 avril 2026 une partie de ses clients qu'un « tiers non autorisé » avait pu accéder à leurs données personnelles — noms, détails de réservation, communications. Pour un acteur qui revendique 28 millions d'hébergements référencés et brasse les données de centaines de millions de voyageurs, l'incident n'est pas anodin. Pour les DPO, RSSI et juristes, c'est une piqûre de rappel : même les géants de la tech trébuchent sur les articles 33 et 34 du RGPD.

Ce qui s'est passé

Dans un email envoyé aux premières heures du 13 avril à plusieurs de ses clients australiens, la plateforme néerlandaise évoque une « activité suspecte » ayant permis à un tiers d'accéder à des informations personnelles. Booking.com reste volontairement prudent sur l'ampleur : aucun chiffre officiel sur le nombre de comptes concernés, ni sur la nature exacte de l'intrusion. La société indique en revanche que les données bancaires ne seraient pas touchées — une précision qui ne suffit pas à désamorcer le risque.

Car au-delà des noms et numéros de réservation, les données exposées suffisent à alimenter des campagnes d'hameçonnage redoutablement ciblées. Un attaquant qui connaît votre hôtel, vos dates de séjour et votre itinéraire dispose du prétexte parfait pour se faire passer pour le service client et soutirer vos coordonnées bancaires. Ce scénario n'a rien de théorique : la plateforme est régulièrement utilisée comme appât par les cybercriminels, et une fraude documentée par Numerama en 2024 avait déjà démontré la mécanique.

Pourquoi c'est important — les obligations RGPD en première ligne

Booking.com n'en est pas à son coup d'essai. En 2021, l'Autoriteit Persoonsgegevens — la CNIL néerlandaise — lui avait infligé 475 000 euros d'amende pour avoir notifié tardivement une violation de données, au-delà du délai de 72 heures imposé par l'article 33 du RGPD. Le message envoyé aux autorités européennes était clair : la taille et la sophistication technique d'un acteur ne l'exonèrent pas des délais stricts de notification.

La séquence actuelle remet ces obligations sous les projecteurs. Dès qu'une organisation constate une violation susceptible d'engendrer un risque pour les droits et libertés des personnes, elle doit notifier l'autorité de contrôle dans les 72 heures — et, lorsque le risque est élevé, informer directement les personnes concernées au titre de l'article 34. La jurisprudence européenne rappelle que ces délais courent dès la prise de connaissance de la violation, pas dès la fin de l'enquête technique. Pour une entreprise qui constate une intrusion un vendredi soir, le compte à rebours ne s'arrête pas à 18 h.

L'incident Booking.com rappelle aussi une réalité souvent oubliée : quand votre PME utilise une plateforme internationale comme sous-traitant, vous restez responsable du traitement au sens du RGPD. Si l'un de vos collaborateurs réserve des déplacements professionnels via Booking for Business et que ses données sont exposées, votre organisation peut être amenée à cofinancer la notification et à répondre aux sollicitations des personnes concernées. La question de l'audit des sous-traitants prend ici tout son sens : votre contrat DPA prévoit-il un canal de remontée rapide d'incidents ? Dans quel délai votre sous-traitant vous informe-t-il ? Les clauses contractuelles obligatoires de l'article 28 doivent être réactivables à chaud.

Ce que ça change pour les organisations

Si vous êtes DPO ou RSSI, voici ce que ce nouvel incident doit déclencher dans votre organisation :

1. Relisez votre procédure de notification de violation. Une procédure violation de données opérationnelle ne se limite pas à un modèle de formulaire CNIL. Elle prévoit qui déclenche l'alerte, qui qualifie le risque, qui rédige la notification, qui approuve l'envoi — et ce, week-end compris. Si votre chaîne de décision passe par trois validations hiérarchiques avant la CNIL, vous êtes déjà hors délai.

2. Cartographiez vos sous-traitants à risque. Toute plateforme internationale manipulant des données personnelles à grande échelle doit figurer dans votre registre, avec la mention des catégories de données traitées et des pays de stockage. Booking.com, Airbnb, Expedia : ce sont autant de sous-traitants (ou responsables conjoints, selon le cas) dont le niveau de risque mérite une évaluation dédiée.

3. Vérifiez votre capacité à détecter une exfiltration. Dans l'incident Booking.com, le signal faible viendrait de l'émission massive d'emails suspects vers les clients. Pour vos propres systèmes, avez-vous une visibilité sur les accès anormaux aux bases clients ? L'authentification forte est-elle activée sur tous les comptes à privilèges ? Les 5 bonnes pratiques de cybersécurité que nous recommandons pour 2026 commencent toutes par cette question.

4. Préparez la communication aux personnes concernées. L'article 34 impose une communication « en des termes clairs et simples ». Vos modèles d'email de notification doivent être pré-validés par le service juridique, prêts à être déclenchés en quelques heures. Un email mal calibré peut déclencher plus de plaintes que la violation elle-même.

Ce que Leto pense de cette décision

La répétition des incidents Booking.com — 2014, 2016, 2019, 2021 et maintenant 2026 — interroge la philosophie réglementaire européenne. Le RGPD sanctionne (à juste titre) le défaut de notification, mais il reste largement silencieux sur l'accumulation de négligences techniques au fil des années. Tant que l'ampleur des amendes restera marginale face aux revenus des géants, la mise en conformité continuera d'être traitée comme une variable d'ajustement plutôt que comme un actif stratégique.

Notre conviction : c'est par l'effet de chaîne — pression des clients B2B, exigences des DPO de PME auprès de leurs fournisseurs, clauses DPA mieux rédigées — que la sécurité des plateformes finira par progresser. Chaque organisation qui renforce ses propres procédures de détection de fuites contribue à relever le niveau collectif.

Sources : DataBreaches.net — Booking.com warns customers (13 avril 2026), Autoriteit Persoonsgegevens — décisions antérieures, CNIL — Notifier une violation de données personnelles.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026