Vous êtes ici : Accueil > > Articles & brèves > > Vos Articles > Le RGPD appliqué à l’hôtellerie
vendredi 15 décembre 2017

Le RGPD appliqué à l’hôtellerie

Cet article a été soumis pour publication gratuite par un tiers qui en assume l'entière responsabilité. TendanceHotellerie n'approuve ni ne désapprouve ce contenu.
 

RGPD protection des donnees des consommateurs au 25 mai 2018
Vous êtes gérant d’hôtel, éditeur de logiciel pour l’hôtellerie, peut-être avez-vous entendu parler du nouveau règlement européen sur la protection de la vie privée, appelé le RGPD (ou GDPR General Data Protection Regulation en version originale), mais peut-être ne savez-vous pas dans quelle mesure il vous concerne ? Nous allons ici essayer d’y répondre.

Quel périmètre pour le RGPD ?

Le RGPD d’une part vise à renforcer les droits des citoyens européens à contrôler les données qui les concernent détenues par les entreprises et d’autres part fixe de nouvelles obligations pour ces entreprises en matière de protection des données à caractère personnel. Ce règlement, qui entrera en vigueur le 25 Mai 2018, concerne toutes les entreprises qui gèrent des fichiers client/prospect ou des fichiers du personnel : multinationales, PME mais aussi TPE ou artisans. Les hôteliers et les éditeurs n’échappent pas à cette règle. Projetons-nous en mai 2018 et voyons quelles seront les nouvelles obligations liées au RGPD les concernant et comment ils pourront y répondre.

Qu’est-ce qu’une donnée à caractère personnel ?

Selon le RGPD, voici la définition d’une donnée à caractère personnel (appelée DCP) « est une donnée permettant d’identifier directement ou indirectement un citoyen européen ».

Une DCP, ça peut être une donnée nominative : nom, prénom, adresse, numéro de téléphone, email , date de naissance, numéro de sécu, information carte bleue, … mais aussi des données permettant de déterminer des profils client : situation familiale, goût, hobbies, comportement, CSP, revenu du foyer, … . Certaines données plus sensibles doivent faire l’objet d’une attention particulière : opinions politiques, religieuses, syndicales, vie sexuelle, santé, appartenance syndicat. Les hôteliers, à priori, ne sont pas censés collecter ce genre d’information.

Quelles responsabilités ?

Le RGPD distingue deux acteurs de la protection de la vie privée : le responsable de traitement et le sous-traitant. Le responsable de traitement détermine les objectifs (les finalités en terme juridique) et les moyens du traitement. Le sous-traitant est l’entité qui traite des données à caractère personnel pour le compte du responsable du traitement. Le règlement rend responsable les deux acteurs : responsable de traitement ET sous-traitant, l’un ne pouvant se cacher derrière l’autre. On peut considérer dans une relation classique Client/Editeur que le gérant de l’hôtel est le responsable de traitement et que l’éditeur du système de gestion est sous-traitant. L’éditeur étant lui-même responsable de traitement pour le stockage et la sécurisation des données qu’il héberge. Les relations entre responsable de traitement et sous-traitant doivent être contractualisées de sorte à ce que les garanties soient apportées par le sous-traitant sur les traitement des DCP.

En pratique : L’hôtelier et l’éditeur vont devoir revoir leurs contrats fournisseur afin qu’ils apportent toutes les garanties en matière de protection de la vie privée.

Quels principes de traitement à respecter ?

Le RGPD nous donne des exemples de traitements de DCP : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; et fixe les principes relatifs à ces opérations que les responsables de traitements et sous-traitant devront respecter.

  • Le principe de transparence : les données doivent être traitées de manière loyale, licite et transparente.
    En pratique : Sur les cartes d’enregistrement ou sur les formulaires en ligne, une information complète, facile à comprendre, et formulée en des termes clairs et simples, doit être faite à la personne concernée sur le traitement de ses données. Un mail explicitant les traitements des données pourra aussi être envoyé au client/employé lors de la collecte de la donnée.
  • Le principe de limitation des finalités : les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Dans un contexte hôtelier les finalités peuvent être : l’organisation du séjour du client, la prospection commerciale, l’analyse du chiffre d’affaire, ….
    En pratique : Les consentements doivent être collectées pour les différentes finalités sur les formulaires de collecte. Classiquement, on pourra demander au client s’il accepte que ces données soient analysées, profilées ou exploitées dans le cadre de prospection commerciale par l’hôtel ou par des tiers. Les consentements devront prendre la forme d’opt-in (case à cocher vide par défaut) et devront être explicitées dans un encart dédié à chaque consentement (plus de consentement dans les CGV/CGU par exemple).
  • Principe de minimisation des données : les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
    En pratique : Cela signifie que l’Hôtelier/Editeur n’a pas à collecter des informations sur le prospect/client/employé si la finalité ne l’exige pas.
  • Principe d’exactitude des données : les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement).
    En pratique : Cela signifie que des mesures raisonnables doivent être prises pour s’assurer que les données inexactes soient rectifiées.
  • Principe de limitation de la conservation des données : les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
    En pratique : l’hôtelier/Editeur doit effacer les données à caractère personnel de ses prospects/clients/employés après un temps limité au strict minimum. Le RGPD ne précise pas de limite de temps. Dans la plupart des cas on se basera sur le délai de prescription pour définir une durée de conservation (exemple 5 ans pour les factures client). L’éditeur peut mettre à disposition de l’hôtelier des mécanismes pour automatiser l’effacement de données.
  • Principe de sécurité, d’intégrité et de confidentialité des données : les données doivent être traitées de façon à garantir une sécurité appropriée desdites données au moyen de mesures techniques ou organisationnelles appropriées.
    En pratique : l’hôtelier et l’éditeur doivent s’assurer que des mesures de sécurité soient prises, en particulier afin de protéger les données contre le traitement non autorisé ou illicite, la perte, la destruction, les dégâts d’origine accidentelle, la divulgation à des personnes non autorisées, etc. La mise en œuvre de ces mesures doit notamment s’accompagner d’actions de sensibilisation des membres du personnel, etc...
  • Principe de responsabilité (accountability) : il désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes propres à permettre la protection des données à caractère personnel et d’être prêtes à démontrer qu’elles respectent le règlement.
    En pratique : l’éditeur et l’hôtelier vont devoir agir et être en mesure de prouver, de tracer, ce qui a été fait pour s’assurer de l’effectivité et de l’efficacité des mesures mises en œuvre pour le respect du RGPD.

Quelles sont les nouvelles obligations des entreprises ?

En complément des principes fixés par le RGPD sur le traitement de données à caractère personnel sur lesquels les entreprises vont devoir s’aligner, de nouvelles obligations sont prévues :

  • Nomination d’un délégué à la protection des données (ou DPO Data Protection Officier) pour les entreprises qui traitent des données à grande échelle. En théorie, cela ne devrait pas s’appliquer aux hôteliers indépendants. C’est moins sûr pour les chaînes d’hôtel et les gros éditeurs de logiciel.
  • Mise en place d’analyse de risque d’impact sur la vie privée (appelée PIA Privacy Impact Assessment) en amont de la mise en œuvre des traitements (si le traitement des données prévu est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques).
  • Tenue d’un registre décrivant le traitement des DCP (sauf pour les entreprises de -250 employés)
  • Demande autorisation des transferts des données vers de pays tiers ou des organisations internationales (uniquement dans certains cas).
  • Notification de violation de données à l’autorité de contrôle (La CNIL) dans des délais de 72h après sa découverte puis aux personnes concernées (si la violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique)

Quels droits pour les personnes concernées ?

Enfin, le RGPD renforce les droits des personnes concernées : droit d’accès, droit de rectification, droit l’oubli, Droit à la limitation et d’opposition, Droit de notification, Droit à la portabilité des données, Droit d’opposition.

En pratique : le prospect/client/employé peut faire valoir ces droits directement auprès de l’hôtelier et il doit être en capacité de répondre à la demande du client. L’éditeur peut proposer une interface à disposition des hôteliers pour que ces derniers puissent directement appliquer les droits. L’hôtelier doit ensuite notifier tous les destinataires des données, si elles ont été transmises à des tiers, qu’un droit a été appliqué de sorte que la modification soit propagée.

Quelles sanctions ?

Le règlement n’est pas anodin, il fixe des sanctions lourdes en cas de manquement avéré : jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial.

Pour conclure

Les hôteliers et les éditeurs qui leur fournissent des systèmes de gestion vont devoir s’adapter au RGPD : transparence avec les clients, récolte des consentements, minimisation des données et limitation de leur conservation, mise en place de procédures pour répondre aux demandes des clients faites dans le cadre de leurs droits, rédaction de protocoles de notification des violations de données sont des pistes de travail pour se mettre en conformité à court terme.

De manière plus large, des business models existants basés sur le profilage et la valorisation de données à caractère personnel devraient disparaitre à terme et être remplacés par d’autres modèles basés sur la transparence et le consentement des personnes concernées.

Une jolie infographie réalisée par la commission européenne présente les points à retenir de manière visuelle.

Alexandre Anquetil

A propos de l’auteur :

Article fourni gracieusement par Alexandre ANQUETIL
Gérant 2A CONSULTING
alexandre chez conservus.net
Conservus.net

 
 
Si vous copiez cet article partiellement ou intégralement, n’oubliez pas d’insérer le lien https://suiv.me/8778 vers sa source ou le lien https://suiv.me/8778.qr vers le QR Code ci-contre. N'hésitez pas à consulter le monde d'emploi ou à lire les CGU.
 
 

 
 

 

Vous souhaitez publier un article éducatif ? Une opinion personnelle ?

Alors cliquez ici.
 

 
 

Un avis, un commentaire ?


À savoir avant de poster votre avis...

Modération à priori. Ne sont notamment pas publiés :
- Les messages à caractère publicitaire
- Les messages postés avec une fausse adresse email
- Les messages comportant des liens sortants promotionnels et/ou non pertinents avec l'article.
- ...
Lire les CGU

Qui êtes-vous ?
Votre message

Message limité à 5000 caractères.

 
 
Si vous pensez que TendanceHotellerie.fr a toute sa place dans le paysage de l’hôtellerie francophone, n’hésitez pas nous soutenir. C’est simple et (...) En savoir plus »
Nous avons la volonté de faire correspondre ce webzine à vos attentes. Nous sommes très intéressés de recevoir vos avis et suggestions pour (...) En savoir plus »
Vous voulez annoncer sur TendanceHotellerie ? Nous proposons aux fournisseurs de services, solutions et produits à destination de l’hôtellerie de communiquer avec les lecteurs de (...) En savoir plus »