ALVDM. Voyageurs du Monde hors la loi « pour mieux servir ses clients » ? Ce que peut stocker un CRM sur les clients
Peut-on utiliser son CRM pour conserver des données clients plus longtemps que ce que la loi prévoit ? La CNIL dit non et menace l’entreprise de Jean-François Rial d’une amende dont le montant pourrait atteindre 1,8 millions d'euros. La direction du voyagiste invoque notamment qu’il lui est utile conserver la mémoire des relations commerciales. Un sacré sujet.
Des voyages à 17000 euros en moyenne par PAX
Le voyagiste bien connu, positionné sur le segment des voyages premium et personnalisés, aurait dérogé à la loi sur la durée de conservation des données clients, pour mieux personnaliser ses offres commerciales et devis selon Alain Capestan, co-fondateur et directeur général. La fréquence d’achats de voyages étant faible, on comprend que le voyagiste désire conserver (le plus longtemps possible) les données de ses clients.
La rapporteuse de la Commission nationale de l’informatique et des libertés (Cnil) a requis jeudi 4 juin une amende de 1,8 million d’euro contre l’entreprise de voyage Voyageurs du Monde pour plusieurs manquements aux règles de protection des données de ses clients. L’action ALVDM a baissé de 8 % et enregistre une baisse de 17 % depuis le début de l’année 2026.
Le contrôle de la CNIL avait été déclenché après la révélation d’une fuite de données survenue en 2023, concernant 8000 clients de Voyageurs du Monde.
Cinq manquements, un contesté
« À l’occasion des vérifications, cinq manquements ont été constatés », a rappelé la rapporteuse de l’organisme, lors d’une audience en formation restreinte. Alors qu’elle s’est conformée aux recommandations pour quatre d’entre eux, « la société en conteste un », détaille la rapporteuse, qui concerne la durée de conservation des données.
« Le taux de retour des clients est important pour notre rentabilité », justifie Alain Capestan, le directeur général de Voyageurs du Monde. D’où la nécessité de conserver leurs données plus longtemps que les cinq ans requis par la Cnil, selon les représentants du spécialiste du voyage sur mesure.
Selon Jean-François Rial, joint par nos soins, la loi ne serait pas très claire sur cette durée de conservation, qui doit être raisonnable. La CNIL propose trois ans et nous proposons sept, avec une durée différente selon le type de voyages acheté. Voilà ce qui fait l'objet des discussions et sera peut-être accepté.
Ce que disent les textes et le RGPD
La CNIL recommande que la durée de conservation des données personnelles des clients et des prospects ne dépasse pas trois ans. Cette durée est issue de la norme simplifiée NS-056, qui n’est certes plus valable depuis l’entrée en vigueur du RGPD, mais dont les durées de conservation des données restent recommandées aux yeux de la CNIL.
Le RGPD quant à lui n’offre certes pas de réponse claire de durée de conservation et de traitement des données, mais offre des recommandations selon les situations.
Voyageurs du Monde veut conserver les données
« Nos clients payent en moyenne nos voyages personnalisés 17 000 euros. Ils s’attendent à ce que l’on connaisse leurs profils lorsqu’ils reviennent, même plusieurs années plus tard », argumente Alain Capestan. Selon la rapporteuse, « les raisons invoquées ne sont pas suffisantes » pour justifier un délai de conservation de dix ans, « accepté pour aucune donnée de fichier client ».
La décision de la CNIL devrait être rendue à une date ultérieure non précisée.
De nombreuses cyberattaques dans le voyage
L’an dernier, la Cnil a enregistré 6.167 notifications de violations de données, soit 9,5% de plus qu’en 2024, son plus haut niveau jamais enregistré, a-t-elle détaillé dans son bilan 2025.
Plusieurs groupes de tourisme comme Pierre & Vacances ou Belambra ont été victimes de cyberattaques ces dernières semaines. D’après des spécialistes des cyberattaques, le secteur du tourisme et de l’hébergement est particulièrement attractif pour les cybercriminels, en raison notamment de la multiplication des partenaires et des systèmes de réservation.