Droits et libertés, données personnelles

L’expérience digitale est désormais un axe majeur dans la relation des entreprises avec leurs clients. Mais elle n’est pas sans risque pour ces derniers (au niveau de la protection des données personnelles) comme pour les entreprises, et ce d’autant plus que pour ces dernières, les sanctions financières peuvent être très lourdes depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018. Le 20 novembre, la presse a signalé que les données personnelles de 130 000 à 140 000 voyageurs de la plate-forme de réservation hôtelière professionnelle Gekko, une filiale du groupe Accor, étaient devenues librement accessibles à la suite d’une erreur de paramétrage. Parmi les informations exposées, il y aurait eu 900 cartes de crédit environ, mais sans leur cryptogramme visuel. La firme de cybersécurité vnpMentor précise qu’elle a détecté la faille le 7 novembre, qu’elle a aussitôt contacté Gekko et Accor et qu’elle a reçu un retour d’Accor le 13 novembre. Gekko, de son côté, indique qu’elle n’a eu connaissance du problème que le 13 novembre, qu’elle a immédiatement colmaté la fuite et prévenu les personnes concernées le 16 novembre. Aucun usage frauduleux n’aurait été détecté. Le délai de réaction semble cependant plutôt long et traduit la persistance d’une relative discrétion face à ce type d’événements, à leur incidence et à leur prise en compte dans l’évaluation des risques ESG par les agences d’évaluation au titre de la protection des droits et libertés.