Voyageurs du Monde est une agence de voyages sur mesure. En 2023, elle a subi une violation de données entraînant la fuite de 8 000 documents d’identité. Une personne a saisi la CNIL pour la divulgation de son passeport communiqué à Voyageurs du Monde en 2019.
Le 04 juin 2026, la formation restreinte, l’organe de sanction de la CNIL, s’est penchée sur Voyageurs du Monde. PURR a assisté à la séance.
La violation de 2023 est liée à la compromission du compte d’un salarié. Absente au moment de l’attaque, la double authentification aura été déployée depuis.
La Rapporteur de la CNIL a soulevé les griefs suivants :
-
Présence d’un champ de texte libre non-adéquat et excessif. Malgré les recommandations 2019 de la CNIL, Voyageurs du Monde ne mettait en œuvre aucune procédure de modération ou de contrôle. Seules des directives étaient données aux salarié·es. Elles incitaient de plus à consigner un avis subjectif sur les clients, en lien avec la haute personnalisation du voyage. La Rapporteure retient un manquement à l’article 5(1)c du RGPD. Voyageurs du Monde se serait mis depuis en conformité, avec un contrôle / effacement hebdomadaire, qui pourrait devenir quotidien après rodage.
-
Absence d’information et de recueil du consentement à la collecte de données sensibles (maladies, convictions religieuses, orientation sexuelle, …) dans le formulaire voyageur. Un manquement à l’article 9 du RGPD est retenu. Le responsable du traitement se serait mis en conformité depuis.
-
Conservation insuffisamment sécurisée des mots de passe par chiffrement 3DES. Pas à l’état de l’art ANSSI et CNIL. Le responsable de traitement se serait mis en conformité en utilisant Argon2.
-
Prospection commerciale après une information discutable et sans possibilité d’opposition. La loi l’autorise uniquement pour des produits ou services analogues à ceux vendus. Voyageurs du Monde se serait mis en conformité depuis.
-
Pour les voyages individuels, la durée de conservation annoncée à l’époque était de 15 ans et il n’existait en réalité aucune procédure de suppression. Pour les voyages en groupe, l’entreprise conservait des documents d’identité plus d’un mois après le retour. Dans les deux cas, les durées choisies, 10 ans pour un prospect, 15 ans pour un client, sont excessives. Manquement à l’article 5(1)e du RGPD. Voyageurs du Monde se serait mis en conformité, sauf sur la durée appliquée aux clients, qui reste de 10 ans, alors que la CNIL impose 5 ans, soit déjà 2 ans de plus que sa recommandation publique.
Les données conservées sont très précises (voyage hautement personnalisé) et le traitement porte sur 1,4 million de personnes. La CNIL reconnaît Voyageurs du Monde comme particulièrement négligente. Des moyens techniques et organisationnels étaient possibles, mais ils n’ont pas été mis en œuvre.
En conséquence, la Rapporteure a proposé que les mesures correctrices soient une amende de 1,8 million d’euros (1,5 M€ pour les manquements au RGPD, 300 k€ pour la prospection) et une injonction à se mettre en conformité avec une durée de conservation de 5 ans en ce qui concerne les données clients. La Rapporteure Publique ne demande pas de publication de la délibération à venir au vu des efforts déjà mis en œuvre par Voyageurs du Monde.
En défense, Voyageurs du Monde a exposé qu’elle œuvre dans le voyage ultra-personnalisé, ce qui justifie sa détention de données détaillées, conservation qu’elle présente comme déterminante pour sa rentabilité. Les clients, présentés comme haut de gamme, n’accepteraient pas que Voyageurs du Monde oublie un voyage précédent ou des détails personnels après seulement 5 ans. L’acquisition d’un client est présentée comme coûteuse, l’édition d’un devis demandant un effort conséquent. Le modèle économique repose ainsi sur la fidélité des clients et la nécessité d’un retour du client, retour qui ne peut intervenir que sur un temps long étant donné le coût important d’un voyage. La durée de conservation de 5 ans, désirée par la CNIL, serait incompatible avec cela, alors que le RGPD permet une adaptation à l’activité si motifs impérieux. Il n’est pas possible de distinguer un client qui reviendra ou non, y compris en l’interrogeant, sans recourir à des pratiques trompeuses (marketing fondé sur des dark patterns), ce à quoi Voyageurs du Monde se refuserait.
L’organisme mis en cause se prévaut que le RGPD date de 2018 seulement, et que le COVID (2020-2023) puis la cyberattaque de 2023 ont arrêté totalement l’activité et généré des pertes importantes.
La Rapporteure a rappelé qu’il existait une législation sur la protection des données personnelles avant 2018 (directive 95 de 1995). Elle note aussi que la durée de conservation de 5 ans demandée est déjà plus conciliante que celle qu’elle préconise habituellement et qu’une durée de 10 ans ne se pratique nulle part ailleurs. Elle indique aussi que Voyageurs du Monde ne fait pas la démonstration qu’une suppression des données après 5 ans entraînerait une réelle perte de chiffre d’affaires, d’autant plus que les données collectées perdent nécessairement leur intérêt avec le temps (ce que reconnaît Voyageurs du Monde), et que justement la violation de 2023 illustre la nécessité de protéger les données.
Ce dossier étant transfrontalier, la CNIL a dû coopérer avec d’autres autorités de contrôle européennes. Le projet de décision de la CNIL doit dorénavant leur être communiqué pour avis.