À quelques semaines de la saison estivale, Gîtes de France confirme avoir subi un accès frauduleux à des données de réservation. L’incident s’inscrit dans une série touchant aussi Pierre & Vacances-Center Parcs et Belambra, avec un point commun : l’exposition de données opérationnelles liées aux séjours.
Gîtes de France confirme un accès frauduleux
Gîtes de France a confirmé dimanche 17 mai avoir été victime d’un vol de données. Dans un communiqué transmis à l’AFP, le réseau évoque « un incident de sécurité » ayant entraîné « un accès frauduleux à certaines données relatives aux dossiers de réservation » de ses clients.
Les données concernées peuvent notamment inclure les noms, prénoms, adresses e-mail, numéros de téléphone, adresses postales, dates de séjour et nombre de nuitées. Gîtes de France assure qu’aucune donnée bancaire n’a pu être collectée.
Selon les éléments communiqués, l’incident proviendrait du prestataire informatique Itea, utilisé par certaines centrales de réservation départementales. Le réseau précise que seuls certains départements sont concernés et indique avoir engagé les démarches nécessaires, dont l’information des clients.
Une série d’incidents autour des plateformes de réservation
Cette confirmation intervient après deux autres incidents rendus publics dans le tourisme. Le 15 mai, Pierre & Vacances-Center Parcs a indiqué avoir porté plainte après une fuite concernant 1,6 million de réservations sur la plateforme « La France du Nord au Sud », filiale de sa marque Maeva. Le groupe précise que l’incident ne concerne pas directement les activités Pierre & Vacances ou Center Parcs.
Dans un courriel adressé à l’AFP, le groupe explique avoir été informé le 14 mai 2026 d’un « incident de sécurité ayant conduit à l’exposition de certaines données personnelles avec un historique potentiel pouvant remonter à dix ans ».
Belambra a, de son côté, confirmé un « incident de sécurité » ayant entraîné un accès frauduleux à une partie de ses infrastructures numériques et à certaines données relatives aux dossiers de réservation. L’entreprise indique qu’aucune donnée bancaire, aucun document d’identité ni aucun mot de passe ne sont concernés, et qu’une plainte a été déposée.
Des données qui permettent de savoir quand un logement est vide
Ce qui distingue les données de réservation touristique d’une fuite classique, c’est leur valeur opérationnelle immédiate. Connaître les dates de séjour d’un client, c’est connaître par déduction les dates d’absence de son domicile. Croisées avec une adresse postale, également exposée dans ces incidents, ces informations constituent un renseignement exploitable pour préparer un cambriolage. Sans oublier le risque potentiel de phishing.
Un type de fuite qui illustre une catégorie de risque souvent sous-estimée dans les analyses d’impact : celle des données à valeur contextuelle différée. Une date de départ couplée à une adresse ne déclenche pas une fraude bancaire immédiate, et pourtant, son potentiel de nuisance physique est direct.
