Sécurité des données sur les plateformes voyage
La sécurité des données : un impératif non négociable
Les plateformes de gestion des voyages d'affaires traitent des données parmi les plus sensibles de l'entreprise. Informations de passeport, numéros de carte bancaire, itinéraires de déplacement des dirigeants, dates d'absence du siège, coordonnées personnelles des collaborateurs : la richesse de ces données en fait une cible de choix pour les cybercriminels et un sujet de conformité réglementaire majeur pour les entreprises.
Pour le Travel Manager, la sécurité des données n'est pas un sujet purement technique qu'il peut déléguer à la direction des systèmes d'information. C'est un critère de sélection déterminant dans le choix de l'agence de voyages et de ses outils, et une responsabilité partagée entre l'entreprise et ses prestataires.
En 2024, les cyberattaques ciblant le secteur du voyage se multiplient. Plusieurs plateformes de réservation ont subi des violations de données affectant des millions d'utilisateurs. Dans le segment corporate, une fuite de données peut exposer les itinéraires de déplacement des dirigeants, révéler des projets d'acquisition confidentiels (un directeur qui se rend chez un concurrent potentiel), ou compromettre les informations bancaires des collaborateurs.
La conformité RGPD dans la gestion des voyages
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, encadre le traitement des données personnelles des collaborateurs européens. Dans le contexte du voyage d'affaires, les données personnelles traitées sont nombreuses et variées.
Les données concernées
Données d'identité : nom, prénom, date de naissance, nationalité, numéro de passeport, numéro de carte d'identité, photo d'identité numérisée.
Données de contact : adresse e-mail professionnelle et personnelle, numéro de téléphone mobile, adresse postale.
Données de voyage : itinéraires, dates de déplacement, préférences (siège côté couloir, régime alimentaire, programme de fidélité), historique des voyages.
Données financières : numéros de carte bancaire, relevés de dépenses, notes de frais.
Données de localisation : position géographique en temps réel pour les fonctionnalités de duty of care.
Les obligations de l'entreprise et de l'agence
Dans la relation entre l'entreprise et son agence de voyages d'affaires, l'entreprise est le responsable de traitement au sens du RGPD, et l'agence est le sous-traitant. Cette qualification juridique impose plusieurs obligations.
L'agence doit traiter les données uniquement selon les instructions documentées de l'entreprise. Un contrat de sous-traitance conforme à l'article 28 du RGPD doit être signé entre les deux parties. Ce contrat précise les finalités du traitement, les catégories de données traitées, les mesures de sécurité mises en oeuvre et les conditions de restitution ou de suppression des données en fin de contrat.
L'entreprise doit informer ses collaborateurs du traitement de leurs données personnelles dans le cadre de la gestion des voyages : quelles données sont collectées, pour quelles finalités, pendant combien de temps elles sont conservées, et quels sont les droits du collaborateur (accès, rectification, suppression, portabilité).
Le cas particulier de la géolocalisation
La géolocalisation des collaborateurs en déplacement, dans le cadre du duty of care, est un traitement particulièrement encadré. La CNIL (Commission Nationale de l'Informatique et des Libertés) considère que la géolocalisation permanente des salariés est disproportionnée sauf circonstances exceptionnelles (zone à risque élevé, crise sécuritaire). La géolocalisation ponctuelle, activée uniquement en situation de crise, est en revanche admise si elle répond à un intérêt légitime de l'employeur (obligation de sécurité) et si le collaborateur en a été préalablement informé.
Le chiffrement des données : la première ligne de défense
Le chiffrement est le mécanisme fondamental qui protège les données contre les accès non autorisés. Il s'applique à deux niveaux dans une plateforme de gestion de voyages.
Le chiffrement en transit
Toutes les communications entre le navigateur de l'utilisateur et la plateforme doivent être protégées par le protocole TLS (Transport Layer Security) en version 1.2 au minimum, idéalement en version 1.3. Ce chiffrement empêche l'interception des données lors de leur transmission sur le réseau. Concrètement, lorsqu'un collaborateur saisit ses informations de passeport ou de carte bancaire sur le SBT, ces données sont chiffrées avant d'être envoyées au serveur.
Le Travel Manager peut vérifier la présence du chiffrement TLS en s'assurant que l'URL de la plateforme commence par « https:// » et que le certificat SSL est valide et émis par une autorité de certification reconnue.
Le chiffrement au repos
Les données stockées sur les serveurs de la plateforme doivent également être chiffrées. L'algorithme AES-256 (Advanced Encryption Standard avec une clé de 256 bits) est le standard recommandé. Ce chiffrement garantit que même en cas d'accès physique aux serveurs (vol, intrusion dans le data center), les données restent illisibles sans la clé de déchiffrement.
Les clés de chiffrement elles-mêmes doivent être gérées de manière sécurisée, idéalement via un service de gestion de clés (KMS) dédié, avec une rotation régulière et une séparation stricte entre les données et les clés.
PCI DSS : la sécurité des paiements
Si la plateforme de gestion des voyages traite des données de carte bancaire (numéro de carte, date d'expiration, cryptogramme), elle doit être conforme au standard PCI DSS (Payment Card Industry Data Security Standard). Ce standard, défini par les réseaux de cartes bancaires (Visa, Mastercard, American Express), impose un ensemble de mesures de sécurité strictes.
Les exigences principales de PCI DSS incluent la segmentation du réseau pour isoler les systèmes qui traitent les données de carte, l'interdiction de stocker le cryptogramme visuel (CVV) après l'autorisation de la transaction, la mise en place de pare-feu et de systèmes de détection d'intrusion, la journalisation de tous les accès aux données de carte, et la réalisation de tests de pénétration réguliers.
Pour les entreprises utilisant une carte logée (carte centralisée au nom de l'entreprise pour les paiements de voyages), la conformité PCI DSS de l'agence de voyages est un point de vérification essentiel. C'est l'agence qui stocke et traite les données de la carte logée, et toute compromission de ces données expose directement l'entreprise.
SSO et authentification forte
Le Single Sign-On (SSO)
Le SSO permet aux collaborateurs de se connecter à la plateforme de gestion des voyages en utilisant leurs identifiants d'entreprise (Active Directory, Azure AD, Okta, etc.), sans avoir à mémoriser un mot de passe supplémentaire. Au-delà du confort d'utilisation, le SSO renforce la sécurité en centralisant la gestion des accès : lorsqu'un collaborateur quitte l'entreprise, la désactivation de son compte d'entreprise coupe automatiquement son accès à la plateforme voyage.
L'authentification multi-facteurs (MFA)
L'authentification multi-facteurs ajoute une couche de sécurité supplémentaire en exigeant, en plus du mot de passe, un second facteur d'authentification : code envoyé par SMS, notification push sur une application d'authentification (Microsoft Authenticator, Google Authenticator), ou reconnaissance biométrique. Le MFA est particulièrement recommandé pour les accès aux fonctionnalités sensibles : administration de la politique voyage, consultation du reporting financier, modification des profils voyageurs.
La résidence des données et la souveraineté numérique
La question de la localisation des données est devenue un enjeu de souveraineté. Où sont hébergées les données de voyage de vos collaborateurs ? Dans un data center en France ? En Europe ? Aux États-Unis ? La réponse a des implications juridiques directes.
Depuis l'arrêt Schrems II de la Cour de Justice de l'Union Européenne (2020), le transfert de données personnelles vers les États-Unis est soumis à des conditions strictes. Si la plateforme de gestion des voyages héberge ses données chez un fournisseur cloud américain (AWS, Azure, Google Cloud), l'entreprise doit s'assurer que des garanties appropriées sont en place : clauses contractuelles types, évaluation d'impact du transfert, mesures techniques complémentaires.
Pour les entreprises les plus sensibles (défense, énergie, administration publique), le choix d'un hébergement sur le territoire français, chez un fournisseur certifié SecNumCloud par l'ANSSI, peut être un prérequis.
Les pistes d'audit : traçabilité et responsabilité
Une plateforme de gestion des voyages sécurisée doit maintenir des journaux d'audit (logs) exhaustifs de toutes les actions effectuées : connexions, recherches, réservations, modifications, consultations de données sensibles, changements de configuration. Ces journaux doivent être horodatés, inaltérables et conservés pendant une durée suffisante (12 à 24 mois minimum).
Les pistes d'audit servent plusieurs objectifs : détection des comportements suspects (tentatives de connexion multiples, accès à des données inhabituelles), investigation en cas d'incident de sécurité, démonstration de conformité lors d'audits internes ou externes, et preuve en cas de litige.
Étude de cas : réussir un audit de sécurité
Un groupe bancaire de 5 000 collaborateurs, soumis aux exigences réglementaires strictes du secteur financier, a décidé de soumettre son dispositif de gestion des voyages à un audit de sécurité complet avant de renouveler son contrat avec son agence de voyages d'affaires.
L'audit, mené par un cabinet spécialisé, a porté sur cinq domaines : conformité RGPD, sécurité des paiements (PCI DSS), chiffrement et gestion des clés, contrôle des accès, et pistes d'audit.
L'agence précédente n'a pas satisfait aux exigences sur trois des cinq domaines : absence de chiffrement au repos des données de passeport, non-conformité PCI DSS pour le stockage de la carte logée, et pistes d'audit incomplètes.
CTA Business Travel a été retenu après avoir démontré sa conformité sur l'ensemble des critères. Notre plateforme intègre le chiffrement AES-256 au repos et TLS 1.3 en transit, la conformité PCI DSS certifiée annuellement pour le traitement des cartes bancaires, le SSO compatible avec l'infrastructure Azure AD du client, l'authentification multi-facteurs pour les accès administrateurs, des journaux d'audit conservés 24 mois avec une exportation automatisée vers le SIEM (Security Information and Event Management) du client, et un hébergement des données en France dans un data center certifié ISO 27001.
La migration a été effectuée en six semaines, incluant le transfert sécurisé des données historiques et la formation des administrateurs. Le groupe bancaire dispose désormais d'un dispositif de gestion des voyages qui respecte les exigences de son comité des risques et de son régulateur.
Les questions à poser à votre agence de voyages
Pour évaluer le niveau de sécurité de votre agence de voyages d'affaires et de ses outils, voici les questions essentielles à poser :
- Où sont hébergées les données et quel est le niveau de certification du data center ?
- Quels mécanismes de chiffrement sont utilisés en transit et au repos ?
- L'agence est-elle certifiée PCI DSS pour le traitement des paiements ?
- Le SSO et le MFA sont-ils supportés ?
- Comment les données sont-elles restituées ou supprimées en fin de contrat ?
- Quelle est la politique de conservation des pistes d'audit ?
- L'agence dispose-t-elle d'un plan de continuité d'activité et de reprise après sinistre ?
Chez CTA Business Travel, nous répondons à chacune de ces questions avec transparence et documentation à l'appui.
Pour aller plus loin :
