Pierre & Vacances-Center Parcs : fuite de données clients
Le groupe Pierre & Vacances-Center Parcs confirme une fuite de données via sa plateforme de réservation, jusqu'à 4,5 millions de clients exposés, notifiée à la CNIL.
- Organisation
- Pierre & Vacances-Center Parcs (marques Pierre & Vacances, Center Parcs, Maeva)
- Secteur
- Transport
- Pays
- France
- Date des faits
- Revendication le 14-15 mai 2026 ; le pirate affirme avoir opéré pendant environ trois semaines avant la détection
- Ampleur
- 1,6 million de réservations confirmées par le groupe ; jusqu'à 4,5 millions de profils clients actuels et anciens selon le pirate et repris par le groupe
- Vecteur
- Faille de contrôle d'accès de type IDOR (Insecure Direct Object Reference) sur la plateforme de réservation, permettant l'accès à des données via la manipulation d'identifiants
- Données exposées
- Noms et prénoms, Dates de naissance, Numéros de téléphone, Numéros de dossier de réservation, Logements et dates de séjour, Historique des séjours, Commentaires de vacanciers
Le groupe Pierre & Vacances-Center Parcs, coté en Bourse, a confirmé le 15 mai 2026 avoir été victime d’un incident de sécurité ayant entraîné l’exposition de données personnelles liées à sa plateforme de réservation. L’affaire a émergé après la publication d’une revendication, les 14 et 15 mai 2026, par un acteur malveillant utilisant le pseudonyme ChimeraZ sur un forum cybercriminel. Le groupe a notifié la CNIL et déposé une plainte contre X, conformément aux obligations du RGPD.
Selon les éléments concordants rapportés par plusieurs médias français, les données concernées comprennent des noms et prénoms, des dates de naissance, des numéros de téléphone, des numéros de dossier de réservation, des logements et dates de séjour, l’historique des séjours et des commentaires de vacanciers. Le groupe affirme qu’aucune donnée bancaire ni adresse e-mail n’a été collectée. Plusieurs marques sont citées, dont Pierre & Vacances, Center Parcs et Maeva, certains articles mentionnant aussi des partenaires sans confirmation officielle de leur exposition.
Sur l’ampleur, le groupe évoque 1,6 million de réservations affectées, tandis que le pirate revendique environ 4,5 millions de profils clients actuels et anciens, avec un historique remontant sur dix à vingt ans selon les échantillons. Le chiffre de 4,5 millions provient en partie de la revendication de l’attaquant et doit être considéré avec prudence, même s’il a été largement repris. La cause technique évoquée est une faille de contrôle d’accès de type IDOR, permettant d’accéder à des données par la manipulation d’identifiants.
Les faits sont confirmés par l’organisation elle-même et recoupés par plusieurs sources de presse indépendantes, ce qui justifie un niveau de confiance élevé. Les principaux risques pour les personnes concernées portent sur des campagnes d’hameçonnage ciblé exploitant des informations de séjour crédibles, en particulier à l’approche de la saison estivale. À la date de rédaction, aucune sanction ou décision de la CNIL n’a été publiée, l’instruction étant à un stade initial.
Sources
- Clubic : 4,5 millions de clients de Center Parcs et Pierre & Vacances touchés par une fuite de données
- Franceinfo : Cyberattaque, 1,6 million de dossiers piratés au sein du groupe Pierre & Vacances
- Orange Actu : Fuites de données, Pierre & Vacances victime d'une cyberattaque, 4,5 millions de clients concernés
- Journal du Geek : Pierre & Vacances, Center Parcs, 4,5 millions de clients piratés