Voyageurs du monde : la Cnil requiert 1,8 M€ d'amende après une fuite de 8 000 passeports
La Commission nationale de l'informatique et des libertés (Cnil) a requis une amende de 1,8 million d'euros contre l'agence de voyages Voyageurs du monde. Cette sanction fait suite à une cyberattaque de mai 2023 ayant exposé 8 000 copies de passeports clients et à plusieurs manquements aux règles de protection des données identifiés lors du contrôle de l'autorité.
Cyberattaque et violations multiples constatées
En mai 2023, Voyageurs du monde a subi une cyberattaque ayant entraîné la diffusion en ligne de 8 000 copies de passeports de sa clientèle. À la suite de cet incident, la Cnil a mené des vérifications et constaté cinq manquements aux règles de protection des données. Quatre d'entre eux ont été corrigés par l'entreprise suite aux recommandations de l'autorité.
Le litige sur la conservation des données clients
Le manquement contesté par Voyageurs du monde concerne la durée de conservation des données clients. L'entreprise justifie le maintien de ces informations pendant dix ans par l'importance du taux de retour clients pour sa rentabilité. Selon Alain Capestan, directeur général, les clients paient en moyenne 17 000 euros pour leurs voyages uniques et s'attendent à ce que l'entreprise connaisse leurs profils lors de futurs achats, même plusieurs années après leur premier voyage.
Objection de la Cnil à la durée de conservation
La rapporteuse de la Cnil a estimé que les justifications avancées par Voyageurs du monde ne sont pas suffisantes pour maintenir un délai de conservation de dix ans. Elle a relevé que ce délai ne correspondait à aucune base légale pour les données de fichier client selon le cadre réglementaire applicable. La décision finale de l'autorité sera rendue ultérieurement.
