Du piratage de millions de vacanciers aux loyers contestés des cottages, l’envers de la « réinvention » de Pierre & Vacances se dévoile en pleine haute saison.
En mai, des familles apprennent qu’une partie de leurs vacances s’est retrouvée entre les mains d’un pirate, loin des piscines couvertes et des cottages forestiers. Leur historique de séjours, réservé depuis des années via une filiale discrète de Pierre & Vacances, circule désormais sur le dark web. Au moment où le groupe met en avant sa « réinvention » et son retour aux bénéfices, cette fuite de données pose la question de la solidité numérique d’un modèle recentré sur l’exploitation et les plateformes. Elle remet aussi au premier plan les promesses faites depuis des décennies aux propriétaires et aux vacanciers qui remplissent ses domaines.
Un couple de la région lyonnaise ouvre sa boîte mail le 16 mai 2026 et découvre un message au logo vert et bleu de Pierre & Vacances-Center Parcs. L’objet annonce un « incident de sécurité » sur La France du Nord au Sud, un site où il a réservé plusieurs séjours depuis 2015 pour des vacances avec ses deux enfants. Le texte indique que des données liées à ces réservations ont été exposées, tout en précisant qu’aucune donnée bancaire ni adresse e-mail n’a été collectée, selon le groupe. Quelques clics plus tard, le même couple tombe sur une alerte publiée par French Breaches, un site qui recense les fuites de données. La fiche mentionne 1,6 million de réservations récupérées par un pirate utilisant le pseudonyme ChimeraZ et jusqu’à 4,5 millions de personnes concernées, estimation reprise par plusieurs médias à partir des fichiers revendiqués par l’attaquant. Le groupe évoque, de son côté, un historique de données pouvant remonter à dix ans, tandis que les sites spécialisés parlent d’une période pouvant aller jusqu’à 2005, sur la base des éléments mis en avant par le pirate. Les données listées comprennent les noms des voyageurs, les dates et lieux de séjour, les dates de naissance et les numéros de téléphone, un ensemble suffisant, selon plusieurs médias, pour organiser des appels frauduleux ciblés.
Une faille simple, des données sensibles
Le 15 mai 2026, Pierre & Vacances-Center Parcs diffuse un communiqué indiquant avoir été la cible d’un « incident de sécurité » sur la plateforme La France du Nord au Sud, exploitée par sa filiale maeva. Le groupe y mentionne 1,6 million de réservations concernées et plusieurs millions de clients potentiellement touchés, tout en précisant avoir déposé plainte et saisi la CNIL. Il détaille une liste de données comprenant coordonnées postales, numéros de téléphone, dates de naissance et informations de séjour, mais exclut les coordonnées bancaires et les adresses e-mail.
Des spécialistes de cybersécurité interrogés dans la presse tech décrivent une faille de type « IDOR », pour Insecure Direct Object Reference. Selon leur analyse, il aurait suffi de modifier un identifiant numérique dans l’adresse d’une page pour accéder aux dossiers d’autres clients, signe d’un défaut de contrôle d’accès sur le site. Un expert parle d’une vulnérabilité « typique d’applications peu auditées », susceptible d’être détectée lors de tests de sécurité de base. Les premières analyses publiées par des sites spécialisés évoquent un fichier d’environ 1 Go de données structurées, avec des historiques de séjours, les noms des occupants et leurs coordonnées.
À la fin du mois de mai, des médias professionnels estiment que plus de 5 millions de Français sont concernés par une série de cyberattaques visant plusieurs opérateurs du tourisme, dont maeva, Belambra et Gîtes de France. Ils évoquent un risque d’arnaques téléphoniques ciblant des vacanciers identifiés à l’approche de l’été. La CNIL a été informée le 15 mai par Pierre & Vacances-Center Parcs et examine le dossier, sans qu’aucune décision publique n’ait été rendue à ce stade. L’autorité rappelle plus largement, dans ses recommandations, qu’une fuite de données peut conduire à des tentatives d’hameçonnage, d’usurpation d’identité ou de fraude ciblée.
D’Avoriaz aux villages forestiers
L’entreprise au cœur de cette affaire se construit à partir de 1967 autour de la station d’Avoriaz, en Haute-Savoie, sous l’impulsion du promoteur Gérard Brémond et du champion de ski Jean Vuarnet. Le fondateur met alors en place la « nouvelle propriété », un système dans lequel des particuliers achètent des appartements à prix réduit, les louent à la société via un bail commercial et conservent quelques semaines d’occupation par an. Ce montage permet à Pierre & Vacances de développer des résidences à la montagne puis sur le littoral, notamment aux Ménuires, à Val d’Isère, à Sainte-Maxime et à Juan-les-Pins.
Dans les années 1990 et 2000, le groupe se développe en France et en Europe en rachetant Center Parcs, Sunparks et Villages Nature, puis en lançant les Aparthotels Adagio avec Accor. Introduit en bourse en 1999, il prend une place importante dans le tourisme familial de proximité, avec des résidences à la mer, à la montagne et en forêt. Son modèle repose alors sur un équilibre entre les loyers promis aux propriétaires, les attentes des collectivités locales en matière d’aménagement et les besoins de familles recherchant des séjours standardisés.
À partir du début des années 2010, le groupe accumule les pertes, confronté au vieillissement d’une partie de son parc, à la concurrence de plateformes comme Airbnb et à des contentieux de plus en plus visibles avec des propriétaires de cottages. La crise sanitaire de 2020 aggrave la situation avec la fermeture des domaines et la suspension de loyers dans plusieurs Center Parcs. En mars 2022, Fidera, Alcentra et Atream prennent le contrôle de Pierre & Vacances-Center Parcs dans le cadre d’un plan de sauvetage, l’État entrant indirectement au capital via la Banque des Territoires.
Comptes dans le vert, modèle sous tension
Trois ans après ce changement d’actionnaires, le groupe met en avant un retour aux bénéfices. Pour l’exercice 2024-2025, Pierre & Vacances-Center Parcs annonce un bénéfice net en hausse de 21%, après treize années de pertes, et un chiffre d’affaires touristique en progression. Les documents financiers fixent un objectif d’Ebitda de 160 millions d’euros à court terme, puis 200 millions d’euros en 2026 et environ 220 millions d’euros en 2028, avec une marge visée autour de 10%.
Ce redressement s’appuie sur un plan baptisé « Réinvention 2025 », lancé en 2021, qui prévoit 430 millions d’euros d’investissements financés par le groupe et 715 millions d’euros apportés par des partenaires institutionnels pour rénover les domaines Center Parcs. Les documents stratégiques détaillent la montée en gamme des hébergements, avec l’objectif d’augmenter fortement la part de cottages et d’appartements en catégories « premium » et de relever le revenu moyen par hébergement disponible. Dans le même temps, le groupe développe un modèle dit « asset light », fondé sur la franchise et les contrats de gestion, avec moins d’actifs immobiliers détenus en propre.
Un article spécialisé indique que Pierre & Vacances exploite déjà 15 résidences et 6 hôtels en franchise, ainsi qu’une résidence sous contrat de gestion, et prévoit au moins 1 000 nouveaux hébergements en 2025 en Espagne, au Portugal, en Italie et dans plusieurs régions françaises. Les analyses boursières observent que les prix moyens de vente ont augmenté d’environ 5,8%, alors que le nombre de nuits vendues a reculé de 2,2%. Cette évolution traduit une montée en gamme qui améliore les recettes unitaires, mais qui pèse sur les volumes dans un environnement de pouvoir d’achat contraint.
Des propriétaires en procès
Alors que le groupe communique sur sa transformation et ses nouveaux projets, plusieurs procédures engagées par des propriétaires de cottages restent présentes dans le débat public. En février 2021, 740 propriétaires de chalets dans quatre Center Parcs, dont Le Bois aux Daims dans la Vienne, lancent une action pour obtenir le paiement de loyers non versés pendant le premier confinement. En octobre 2021, 238 propriétaires de cottages du Center Parcs de l’Ailette, dans l’Aisne, saisissent la justice pour des loyers qu’ils estiment impayés depuis novembre 2020.
En mars 2024, un reportage décrit la situation du Center Parcs des Hauts-de-Bruyères, en Sologne, où plusieurs hébergements sont désormais loués directement par leurs propriétaires, en dehors du réseau de gestion de Pierre & Vacances-Center Parcs. Ces propriétaires ont choisi de sortir des baux commerciaux avec le groupe et de proposer leurs cottages par d’autres canaux, après des désaccords sur les loyers et la stratégie du site. En décembre 2024, un article rappelle que Pierre & Vacances-Center Parcs affiche un bénéfice pour la première fois depuis treize ans, tout en mentionnant des relations tendues avec des centaines de particuliers investisseurs.
Ces contentieux prolongent les effets du modèle de la « nouvelle propriété », dans lequel de nombreux ménages avaient investi pour obtenir des revenus locatifs réguliers et quelques semaines de vacances par an. Les documents liés à la restructuration de 2022 actent l’abandon progressif de ce schéma au profit d’un fonctionnement plus proche de l’hôtellerie classique. La transition reste conflictuelle pour une partie de ceux qui ont financé les résidences pendant des décennies.
Entre nature, applications et fuite de données
Depuis 2021, la communication de Pierre & Vacances-Center Parcs met en avant le « tourisme de proximité », les séjours « près de chez soi » et la réduction de l’empreinte carbone des vacances. Les documents de communication mentionnent la rénovation de cottages, la création de parcours nature, l’installation d’équipements énergétiques et des solutions d’accès en transports collectifs à certains domaines. Le groupe valorise aussi l’image d’un cocon familial, avec dômes aquatiques, clubs enfants et activités encadrées dans les Center Parcs.
Plusieurs projets ont cependant suscité des oppositions locales, notamment à Roybon, dans l’Isère, et en Sologne, sur fond de critiques liées à l’artificialisation des sols et à l’usage de l’eau. Les recours et mobilisations ont conduit à des abandons ou à des révisions de projets. Le groupe met désormais davantage l’accent sur la rénovation des sites existants que sur la construction de nouveaux domaines.
Sur le terrain numérique, cette promesse de confort passe par des comptes clients centralisés, des applications mobiles et des réservations en ligne sur les différentes marques du groupe, dont maeva et La France du Nord au Sud. Les documents stratégiques à horizon 2030 évoquent l’usage accru des données pour personnaliser les offres, ajuster les prix et développer les canaux directs, avec le recours à l’intelligence artificielle. La fuite de mai 2026 intervient au moment où cette dimension numérique prend une place croissante dans le modèle économique, à quelques semaines de la haute saison estivale.
Des risques dispersés, une question de responsabilité
Depuis la reprise de 2022, Pierre & Vacances-Center Parcs est piloté par des investisseurs financiers présents au conseil d’administration, avec des objectifs de rentabilité fixés à moyen terme. La direction opérationnelle est assurée par Franck Gervais, polytechnicien et ingénieur des Ponts, nommé directeur général en 2021 après des fonctions à la SNCF, chez Thalys, Eiffage et Accor. Dans un entretien publié en 2025, il indique vouloir transformer en profondeur l’entreprise en misant sur la montée en gamme, la digitalisation et le développement international.
Le groupe se trouve aujourd’hui au croisement d’intérêts multiples : ceux des fonds, des collectivités, des anciens propriétaires de cottages, des nouveaux clients et des autorités chargées de la protection des données. Les documents de stratégie détaillent les trajectoires de chiffre d’affaires et d’Ebitda jusqu’en 2028, mais restent peu précis publiquement sur les moyens consacrés à la sécurisation des systèmes d’information. La fuite de données de mai 2026 place cette question au premier plan, alors que la CNIL examine le dossier et que les clients concernés surveillent l’arrivée de messages suspects sur leurs téléphones.