Le groupe Pierre & Vacances-Center Parcs a été visé par une cyberattaque jeudi 14 mai, et les données extraites l’ont été depuis le site de réservation La France du Nord au Sud, a indiqué l’entreprise. Selon le groupe, cette plateforme appartient à Maeva and co, une filiale de l’ensemble Pierre & Vacances-Center Parcs, tandis que ses propres systèmes de sécurité n’ont pas été touchés par l’incident.

L’entreprise estime que 1,6 million de réservations sont concernées par cette fuite. Le groupe précise que les données potentiellement récupérées peuvent remonter jusqu’à dix ans et qu’aucune donnée bancaire n’a été collectée par le pirate, pas plus que les adresses e-mail. En revanche, des numéros de réservation, des dates et lieux de séjour, les noms des occupants, des numéros de téléphone et des dates de naissance ont pu être extraits.

Le signal d’alerte est lourd pour un acteur du tourisme qui dit servir 4,5 millions de clients et 12 millions de personnes. La société a indiqué avoir identifié puis corrigé la faille, et avoir mis en place des mesures techniques et correctives. Elle a aussi déposé plainte contre X et notifié l’incident à la CNIL.

Le choix de la cible éclaire aussi la nature de l’attaque. La France du Nord au Sud est une plateforme de réservation détenue via Maeva and co, et non un cœur informatique du groupe Pierre & Vacances-Center Parcs. Cette nuance compte, car elle limite le périmètre revendiqué par l’entreprise, mais ne réduit pas l’ampleur potentielle de l’exposition pour les clients dont les séjours passés ou futurs ont pu figurer dans les données extraites.

Le dossier s’inscrit dans une séquence où les cyberattaques se multiplient en France ces derniers mois, avec des cibles allant de Free à Logis Hôtels France, en passant par Brit Hotel et l’ANTS. Pour Pierre & Vacances-Center Parcs, la priorité est désormais de contenir les conséquences d’une fuite ancienne et étendue, tandis que la question centrale devient celle de l’usage possible de données couvrant jusqu’à dix ans de réservations.