Derrière la simplicité des réservations sur Booking.com ou d’autres plateformes, une faille méconnue expose les voyageurs à un risque sérieux : dans de nombreux hôtels, notamment pour les réservations avec paiement à l’arrivée, les coordonnées bancaires saisies par les clients ne sont pas traitées automatiquement, mais ressaisies manuellement par le personnel, rendant ces données visibles et potentiellement exploitables.
Selon plusieurs témoignages recueillis par Maghreb Intelligence, notamment d’anciens employés du secteur hôtelier au Maroc, l’accès à ces informations sensibles est souvent peu encadré. « Les numéros complets de carte et le code CVV apparaissent dans le système, parfois même imprimés sur papier. Il suffisait de cibler les clients qui semblaient avoir un compte bien fourni pour les utiliser ailleurs », confie un ex-réceptionniste d’un hôtel quatre étoiles à Casablanca.
D’autres anciens employés expliquent que le montant n’est pas automatiquement déduit lors de la réservation. Il est saisi manuellement, et les données de carte sont visibles à toute personne ayant accès au système (réception, agents de réservation, managers). Certains racontent même avoir travaillé avec des équipes qui sélectionnaient les cartes de clients paraissant plus aisés pour les utiliser ensuite sur d’autres sites de livraison ou pour des achats personnels.
Cette méthode n’est pas propre au Maroc. Dans plusieurs marchés, surtout là où la régulation bancaire est moins stricte, le paiement annoncé comme “prélevé automatiquement” ne l’est pas réellement. Les employés saisissent manuellement les numéros carte par carte, ce qui ouvre la porte à des abus. Pire, certains témoignages font état de directives internes visant à accélérer le débit dès qu’un client demande l’annulation, sous prétexte que la somme a déjà été “automatiquement déduite” – ce qui, dans ces cas-là, est faux.
En théorie, les standards internationaux PCI-DSS interdisent l’accès complet aux données bancaires et imposent leur chiffrement. En pratique, une partie du parc hôtelier, notamment les établissements indépendants ou équipés de systèmes obsolètes, ne respecte pas pleinement ces règles.
Les experts en sécurité bancaire recommandent l’usage de cartes virtuelles à usage unique ou de cartes prépayées, ainsi que le recours aux options de prépaiement sécurisé proposées directement sur les plateformes de réservation. À l’heure où le Maroc ambitionne de renforcer la confiance dans son secteur touristique, cette question pourrait bien devenir un enjeu stratégique. Derrière les vitrines et les promotions alléchantes, c’est la sécurité des transactions – et donc la confiance des voyageurs – qui est en jeu.
