Le 18 mai 2026, le réseau d’hébergements Gîtes de France a confirmé avoir été victime d’un vol de données survenu le 17 mai. Selon le site de recensement des fuites en ligne French Breaches, l’incident pourrait concerner près de 389 000 clients. Il s’agit du troisième acteur majeur du tourisme français touché en trois jours, après Pierre et Vacances-Center Parcs (vendredi 16 mai) et Belambra (samedi 17 mai), les trois attaques étant revendiquées par le même pirate.
Suis-je concerné par la fuite de données Gîtes de France ?
Si vous êtes client de Gîtes de France et avez effectué une réservation via l’une de ses centrales de réservation départementales, vos données ont pu être exposées. La faille provient du prestataire informatique Itea, et seuls quelques départements sont concernés (la Guadeloupe, la Haute-Garonne et le Cantal ont été mentionnés par le pirate). Gîtes de France indique qu’il informera ses clients directement par e-mail. Aucune donnée bancaire n’a été compromisée selon l’organisme.
Que s’est-il passé ?
Dans un communiqué transmis à l’AFP, Gîtes de France a confirmé qu’« un incident de sécurité a entraîné un accès frauduleux à certaines données relatives aux dossiers de réservation » de ses clients. La faille a été localisée chez le prestataire informatique Itea, dont les logiciels sont utilisés par certaines centrales de réservation départementales du réseau. Le pirate a revendiqué avoir dérobé des données de réservations s’étalant sur plus de trente ans, de 1995 à 2026.
🚨 À retenir : Cette attaque s’inscrit dans une série de trois cyberattaques coordonnées contre des acteurs majeurs du tourisme français en 72 heures. Le même hacker est à l’origine des trois vols de données visant Gîtes de France, Belambra et Pierre et Vacances-Center Parcs. Il a déclaré au fondateur de French Breaches avoir agi « pour gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersSécurité ».
Quelles données ont été exposées ?
Catégorie
Données exposées
Identité
Nom, prénom
Contact
Adresse e-mail, numéro de téléphone, adresse postale
Réservation
Date du séjour, nombre de nuitées
Données bancaires
❌ Non compromisées (confirmé par Gîtes de France)
Le pirate a revendiqué des données de réservation couvrant plus de 30 ans d’historique (1995-2026). Cela signifie que d’anciens clients, même n’ayant pas réservé récemment, peuvent être concernés si leurs données étaient conservées dans les systèmes du prestataire Itea.
Le contexte : une vague d’attaques sur le tourisme français
La fuite de Gîtes de France s’inscrit dans une série exceptionnelle de cyberattaques ciblant le secteur touristique français en l’espace de trois jours :
Date
Acteur touché
Volume estimé
15 mai 2026
Pierre et Vacances-Center Parcs
1,6 million de réservations
17 mai 2026
Belambra (44 clubs de vacances)
~41 000 réservations détaillées + ~360 000 données liées à des mineurs
18 mai 2026
Gîtes de France
~389 000 clients
Les trois acteurs ont confirmé avoir déposé plainte. Le fondateur de French Breaches a échangé directement avec le pirate sur une messagerie sécurisée et confirmé qu’il s’agit du même individu pour les trois attaques.
👉 Pourquoi la faille provient-elle d’un prestataire et non de Gîtes de France directement ?
La vulnérabilité a été identifiée chez Itea, prestataire informatique fournissant des logiciels de gestion des réservations à certaines centrales départementales de Gîtes de France. Ce type de faille dite de chaîne d’approvisionnement (supply chain attack) est de plus en plus fréquent : l’attaquant cible le maillon le moins sécurisé de l’écosystème, souvent un sous-traitant technique, pour accéder aux données de l’organisme principal. Sous RGPD, Gîtes de France reste responsable de traitement même si la faille est imputable à son prestataire.
Quels sont les risques concrets pour les clients concernés ?
Phishing ciblé : e-mails ou SMS se faisant passer pour Gîtes de France, un propriétaire de gîte ou un service de remboursement
Ingénierie sociale : un escroc connaissant vos dates de séjour, votre destination et vos coordonnées peut construire des scénarios d’arnaque très crédibles
Usurpation d’identité : la combinaison nom + adresse + e-mail + téléphone constitue un profil complet exploitable
Arnaque au remboursement : les données de réservation permettent de simuler des demandes de remboursement frauduleuses en se faisant passer pour Gîtes de France
Données historiques : des données de réservation vieilles de plusieurs années peuvent être croiskées avec d’autres bases de données fuites pour enrichir un profil malveillant
Si vous avez réservé via Gîtes de France en Guadeloupe, en Haute-Garonne ou dans le Cantal, ces départements sont explicitement mentionnés par le pirate. Restez particulièrement vigilant dans les semaines à venir.
Que faire si vous êtes concerné ?
Attendez la notification de Gîtes de France : l’organisme s’est engagé à informer ses clients directement par e-mail
Ne cliquez pas sur les liens dans tout message se présentant comme étant de Gîtes de France, d’un propriétaire de gîte ou d’un service de remboursement lié
Vérifiez si votre adresse e-mail figure dans des fuites connues via Have I Been Pwned
Alertez votre banque si vous recevez des sollicitations suspectes liées à une réservation Gîtes de France
Déposez plainte en ligne sur pre-plainte-en-ligne.gouv.fr si vous êtes victime d’une escroquerie ou d’une usurpation d’identité
Sous RGPD, Gîtes de France est tenu de notifier la CNIL dans les 72 heures suivant la découverte de l’incident (article 33 RGPD). Si des risques élevés pour les droits et libertés des personnes sont identifiés, une notification individuelle des clients concernés est également obligatoire (article 34 RGPD). Gîtes de France a annoncé informer ses clients, ce qui suggère que cette obligation a été reconnue en interne.
Quels recours juridiques ?
Si vous subissez un préjudice direct lié à cette fuite (escroquerie, usurpation d’identité, préjudice moral), plusieurs voies sont disponibles :
Plainte pénale pour usurpation d’identité ou escroquerie (articles 226-4-1 et 313-1 du Code pénal)
Saisine de la CNIL pour violation de données personnelles et manquement aux obligations RGPD
Action en responsabilité civile contre Gîtes de France pour manquement à l’obligation de sécurisation des données (article 32 RGPD) — la responsabilité reste celle du responsable de traitement même en cas de faille prestataire
Action en responsabilité contre Itea en qualité de sous-traitant au sens de l’article 28 RGPD si un DPA était en place
Recours collectif en indemnisation du préjudice subi, notamment si la fuite est confirmée à large échelle
Cet article est fourni à titre informatif et peut se substituer à un conseil juridique personnalisé.
Pour toute situation engageant votre responsabilité, consultez un avocat.
§
Les questions des internautes
Suis-je concerné par la fuite de données Gîtes de France et comment le savoir ?
Si vous avez réservé via Gîtes de France, vos données ont pu être exposées, en particulier si votre réservation était gérée par une centrale départementale utilisant les logiciels Itea. Les départements cités : Guadeloupe, Haute-Garonne, Cantal. Gîtes de France notifiera ses clients par e-mail. Aucune donnée bancaire compromise.
Quelles données ont été volées lors de la fuite Gîtes de France ?
Données exposées : nom, prénom, e-mail, téléphone, adresse postale, dates de séjour, nombre de nuitées. Aucune donnée bancaire compromise. Le pirate revendique un historique de réservations couvrant plus de 30 ans (1995-2026), ce qui peut toucher d’anciens clients.
Pourquoi la faille Gîtes de France provient-elle d’un prestataire ? Quelles conséquences sur la responsabilité ?
La faille provient d’Itea, prestataire informatique des centrales départementales. Ce type d’attaque de chaîne d’approvisionnement cible le maillon le moins sécurisé. Sous RGPD, Gîtes de France reste responsable de traitement même si la faille est imputable à son prestataire. La responsabilité d’Itea peut aussi être engagée (art. 28 RGPD).
Que faire immédiatement si vous êtes client Gîtes de France touché par la fuite ?
✔ Attendez la notification de Gîtes de France par e-mail. ✔ Ne cliquez aucun lien suspect lié à une réservation. ✔ Vérifiez votre e-mail sur Have I Been Pwned. ✔ Signalez sur cybermalveillance.gouv.fr. ✔ Déposez plainte si escroquerie avérée.
Quels recours juridiques contre Gîtes de France après la fuite de données ?
En cas de préjudice avéré : plainte pénale pour usurpation d’identité (art. 226-4-1 Code pénal) ou escroquerie (art. 313-1 Code pénal) dans un délai de 6 ans ; action en responsabilité civile contre Gîtes de France (art. 32 RGPD) dans un délai de 5 ans à compter de la connaissance du dommage.
Accédez à des documents juridiques personnalisés et trouver rapidement les informations dont vous avez besoin. Accessible et pratique, le-droit.fr vous accompagne pour gagner du temps et sécuriser vos démarches en toute sérénité.
.svg)
Blog
.png)
