Securise - experts certifiés en cybersécurité pour les PME

Maeva (Pierre & Vacances) : 1,6 million de réservations exposées

Fuite de données chez Maeva, filiale de Pierre & Vacances-Center Parcs : 1,6 million de réservations exposées sur dix ans. La leçon sur la rétention des données.

Le 15 mai 2026, Pierre & Vacances-Center Parcs (PVCP) a confirmé une fuite de données touchant 1,6 million de réservations sur la plateforme « La France du Nord au Sud », filiale de Maeva & Co. L’historique exposé remonterait jusqu’à dix ans.

Ce qui s’est passé

L’attaque ne vise pas directement Pierre & Vacances ou Center Parcs, mais une filiale rattachée à la marque Maeva. Le groupe a déposé plainte contre X et notifié la CNIL, conformément à l’article 33 du RGPD (signalement sous 72 heures).

Données exposées :

  • Numéro de réservation
  • Dates et lieu de séjour
  • Noms des occupants de l’hébergement
  • Numéros de téléphone
  • Dates de naissance

PVCP affirme qu’aucune donnée bancaire ni adresse e-mail n’a été collectée.

La vraie leçon : la rétention des données

L’élément le plus parlant n’est pas la faille elle-même, mais la profondeur historique des données exposées. L’article 5.1.e du RGPD impose une limitation de conservation : les données ne doivent être gardées que le temps nécessaire à la finalité.

Pour une réservation touristique, 3 à 5 ans suffisent dans la grande majorité des cas. Conserver dix ans de données transforme une faille technique limitée en exposition massive : chaque année conservée sans raison démultiplie l’impact.

Un kit de phishing prêt à l’emploi

La combinaison nom + téléphone + date de naissance + dates de séjour suffit à industrialiser des SMS ou appels frauduleux usurpant un service client de réservation. Pas besoin de données bancaires pour piéger une victime.

Ce que votre PME doit en retenir

  1. Auditez vos durées de conservation : identifiez les bases « historiques » sans finalité active et appliquez une purge ou une pseudonymisation.
  2. Cartographiez vos filiales et sous-traitants qui détiennent des données clients (contrats conformes à l’article 28).
  3. Préparez un kit de notification (article 34) prêt à dégainer pour informer rapidement les personnes concernées.

La conformité ne se joue pas le jour de la notification : elle se joue dans les arbitrages de rétention faits des années plus tôt.

Sources : Le Parisien - Center Parcs et Pierre et Vacances, Leto - Analyse RGPD PVCP/Maeva, FrenchBreaches - Maeva.