Les impacts de la RGPD pour les Hôtels et Restaurants

Impossible d’y avoir échappé, nous avons tous entendus parlé de la fameuse loi européenne de protection des données personnelles, j’ai nommé la RGPD !

OK, nous sommes sommes d’accord pour que nos données personnelles soient protégées, qu’elles ne soient pas utilisées à mauvais escient, et qu’elles ne puissent être volés. Mais pour vous, hôteliers, restaurateurs, hébergeurs, qu’est ce que cela signifie ? Etes-vous dans les clous ? Que risquez-vous ?

Les Principes fondamentaux de la RGPD à respecter :

En préambule, la RGPD détermine des principes à respecter, pour l’ensemble des entreprises européennes. Rien de vraiment neuf côté France, car nous avions déjà ces directives via  la loi du 21 Juin 2014 pour la confiance dans l’Economie Numérique, et la Loi Informatique et Liberté du 06 Août 2004. A noter qu’elles n’étaient en effet rarement appliquées à la lettre. La nouvelle réglementation se veut plus répressive.

Le principe de transparence : exige d’informer le client sur la manière dont seront utilisées ses données, par mail ou pendant le remplissage de son formulaire en ligne.

La limitation des finalités : exige que les données ne soient collectées que pour des finalités explicitement déterminées et jugées légitimes. Pour permettre une utilisation de ses données à des fins commerciales, le client devra avoir rempli un formulaire validant explicitement son consentement. Il ne sera donc plus possible d’inclure ce consentement de manière automatique dans les Conditions Générales de Vente.

Ce que cela signifie : il n’est plus possible d’envoyer un email promotionnel à un client qui n’a pas donné au préalable son consentement !

Le principe de sécurité, d’intégrité et de confidentialité : exige une véritable sensibilisation du personnel des hôtels pour lutter contre la divulgation des informations de leurs clients à des tiers (cela sera particulièrement le cas des palaces). Sur le plan technique, les établissements hôteliers et éditeurs de logiciel devront prendre des mesures de cyber-sécurité pour lutter contre le piratage de données.

Ce que cela signifie : vous ne pouvez pas laisser traîner des fichiers clients avec des données, ni sur papier, ni sur l’ordinateur de la réception ! Ces fichiers doivent être protégés par exemple avec un mot de passe.

Par ailleurs, votre site web devra absolument être sécurisé en https, pour éviter les hackers de voler vos données.

Le principe de responsabilité : ces derniers devront également tracer correctement leur traitement des données personnelles grâce à la tenue d’un registre. Ils devront être en mesure de prouver à la CNIL leur respect des obligations légales du RGPD.

Ce que cela signifie : vos données doivent toutes être centralisées au même endroit : logiciel informatique, fichier, registre etc. Vous devez être en mesure de répondre à un client lambda : « comment avez-vous obtenu mon email » ? 

Les hôtels et plateformes traitant des données à grande échelle :

Ils devront nominer un déléguer à la protection des données et mettre en place une analyse de risque d’impact sur la vie privée, avant de procéder au traitement des données à caractère personnel. En cas de violation des données, ils auront 72h pour en référer à la CNIL et aux personnes concernées.

 Notons que le RGPD distingue deux responsables de la protection des données : le responsable de traitement (ici, les hôtels) et le sous-traitant (les éditeurs de logiciel et autres fournisseurs).

Les contrats entre partenaires et sous-traitants devront donc être revus pour assurer la protection des données durant l’intégralité du cycle de traitement.

Outre les ajustements techniques et administratifs nécessaires à la mise en conformité légale (récolte des consentements, tenue des registres, ajustements des process, campagnes de sensibilisation auprès du personnel, etc.). Les obligations du RGPD auront des conséquences commerciales pour certains acteurs du secteur de l’hôtellerie.

Les éditeurs de logiciels et hôtels ayant recours au profilage devront en effet repenser leur business model dans leur intégralité pour respecter la vie privée de leurs clients. En réinstallant la confiance au cœur de la relation client, les acteurs du secteur hôtelier pourront désormais être plus à l’écoute pour se recentrer sur leur activité principale. Tout cela dans le but d’améliorer durablement la qualité de leurs prestations.

Ce que cela signifie : vous êtes responsable de vos données. SI vous les communiquez à un prestataire, un sous-traitant (prestataire de moteur de réservation, PMS, routeur d’emailing), vous devez vous assurer qu’il respecte également les principes de la RGPD. Si les données étaient comprises, ce sera vous le responsable.

Le RGPD renforce l’obligation d’information et de transparence à l’égard des personnes dont vous traitez les données :

Informer les personnes :

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vérifiez que l’information comporte notamment les éléments suivants :

  1. Pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur).
  2. Ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime »).
  3. Qui a accès aux données (indiquez des catégories : les services internes compétents, un prestataire, etc.).
  4. Combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle »).
  5. Les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié).
  6. Si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Pour éviter des mentions trop longues au niveau d’un formulaire en ligne, vous pouvez par exemple, donner un premier niveau d’information en fin de formulaire et renvoyer à une politique de confidentialité/ page vie privée sur votre site internet. À l’issue de cette étape, vous avez répondu à votre obligation de transparence.

Oui mais au final, que risque t’on ? 

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité chargée du contrôle des RGPD et de veiller au respect et à l’application conforme du RGPD.

Il y a bien sûr plusieurs niveaux de sanction, mais elles peuvent aller à une amende de 20% de votre CA annuel, ou 20 millions d’€…

Si la CNIL a été jusqu’à présent assez tolérante, les mesures de répression devraient s’intensifier d’ici fin 2019, début 2020. Be care !

 

Pour toute demande, ou tout devis personnalisé, nous vous invitons à nous contacter.