3 étapes pour être conforme RGPD dans la gestion des données clients d’hôtels

Aujourd’hui, nous laissons la parole à David Campagne, expert en CHR et RGPD. Il conseille et accompagne les hôtels de toutes tailles dans leur stratégie d’entreprise, ressources humaines et développement.

S’engager dans une démarche de conformité RGPD demande de suivre chronologiquement une méthode scindée en trois parties.

  • Recenser et cartographier les différents traitements de données personnelles effectués dans votre établissement
  • Analyser ensuite les traitements mis en œuvre au regard des obligations imposées du RGPD
  • Déterminer enfin un plan d’actions pour faire respecter les droits des personnes concernées et sécuriser les données collectées.

Je vous propose dans ce premier article de vous expliquer concrètement ce qu’il vous revient de faire concernant la phase 1, celle par laquelle vous devez initier efficacement votre démarche.

La cartographie de vos données

Ici, il vous appartient de lister l’ensemble des activités qui vous amènent à collecter des données personnelles dans votre entreprise.

Concernant vos salariés, vous collectez ainsi des données particulièrement quand vous les engagez ou quand vous les payer.

En ce qui concerne vos prospects ou vos clients, vous le faites notamment au moment de la réservation ou lors du déroulement du séjour.

Pour les prestataires/fournisseurs, c’est le cas lorsque vous externalisez certaines prestations que vous ne pouvez ou souhaitez pas assurer vous-même.

Ainsi, dans un hôtel, un restaurant, un camping, une chambre d’hôtes, vous devriez avoir au moins 8 activités listées sur le support de synthèse appelé « Registre des activités de traitement »

  • gestion administrative du personnel
  • gestion de la paie des salariés
  • gestion des prospects
  • gestion des clients
  • gestion des locaux
  • gestion informatique
  • gestion comptable
  • gestion des fournisseurs

Analyse des obligations imposées du RGPD

Une fois l’ensemble des activités listées, et pour chacune d’elles, un certain nombre d’informations doivent ensuite être répertoriées dans une fiche de registre spécifique, mise à jour aussi souvent que nécessaire.

Vous devrez ici apporter des réponses à un certain nombre de questions :

  • Pourquoi et comment collectez-vous ces données, dans quel but, pour quel objectif ?
  • Quelles sont les différents types de personnes concernées par cette collecte et utilisation ?
  • Quelles sont, par catégorie, les différentes données collectées (état civil, vie personnelle, vie professionnelle, informations économiques et financières, données de connexion, données de localisation, internet….) ?
  • Quel outil / support utilisez-vous pour les collecter (papier, mail, logiciel, site internet….) ?
  • Traitez-vous des données sensibles ? ( exemple : des données de santé : allergies ou maladie de votre client)
  • Combien de temps conservez-vous ces informations ?
  • A qui sont-elles destinées ? Comment sont-elles transmises ?
  • Quelles mesures existent aujourd’hui pour préserver leur confidentialité ?

Plan d’actions et mise en place de la sécurité des données

Prenons un exemple pour bien comprendre ce qui vous est demandé.

Pour l’activité « gestion administrative du personnel », vous serez amené par exemple à indiquer que vous collectez le nom, le prénom d’un futur salarié, son adresse, un numéro de sécurité sociale, une date et un lieu de naissance. Et l’objectif poursuivi par cette collecte de données est d’effectuer la déclaration d’embauche à l’URSSAF, établir un contrat de travail, renseigner votre registre du personnel…

Selon l’organisation existante au sein de votre entreprise, vous pourrez indiquer ensuite que vous ne collectez aucune donnée de connexion…que vous êtes la seule personne à traiter ces information en interne, sur un support papier et qu’elles sont transmises à votre comptable par mail pour qu’il fasse la DUE.

Vous pourrez indiquer que ces données papiers sont aujourd’hui stockées dans une armoire fermée à clef dans votre bureau, dans votre solution de messagerie internet dont l’accès est verrouillé par un identifiant et un mot de passe connus de vous-même seulement. Vous pourrez également indiquer le cas échéant qu’une fiche administrative est créée par vous-même dans votre logiciel de gestion RH….

Si nous prenons par exemple l’activité « gestion des clients », vous pourrez notamment indiquer que vous collectez et utilisez des données personnelles pour assurer le séjour du client dans votre établissement (adresse mail, numéro téléphone, nom, prénom….. adresse IP, données bancaires….) et pour être proactif, pour être en mesure de lui proposer un séjour individualisé, des données encore plus personnelles (ses préférences par exemple alimentaires, ses éventuelles allergies, ses centres d’intérêts ……).

Et selon votre organisation, ceci vous le faites en demandant par exemple à votre client:

  • de créer lui-même directement un identifiant et un mot de passe sur votre site internet,
  • en cliquant sur le bouton de votre site qui renvoi sur votre solution de réservation en ligne, en renseignant ces informations sur votre système de réservation en ligne par exemple.
  • en lui envoyant un mail pour lui demander de compléter un formulaire spécifique une fois enregistré sur votre site ou votre système de réservation. Ces informations seront alors disponibles dans votre PMS, votre CRM ou votre logiciel de réservation.

Vous indiquerez également que, selon votre organisation, l’ensemble du personnel de réception à accès à ces données par l’intermédiaire de votre PMS par exemple et que l’accès se fait par un identifiant commun non nominatif. Vous indiquez que les données sont à ce jour stockées sans limite de temps, sauf à ce que le client lui-même vous fasse savoir qu’il ne séjournera plus dans votre établissement.

Voilà le travail qui doit être réalisé dans cette première phase de manière exhaustive. C’est le véritable commencement de la démarche. Vous pouvez pour cela utiliser le modèle de fiche de traitement de la CNIL.

Ce travail est important puisqu’il vous permettra ensuite de prendre du recul, d’analyser votre organisation, d’identifier les risques qui pèsent sur vous et les points d’amélioration à apporter.

La question ici n’est pas encore de savoir si votre organisation est sécurisée ou pas et si elle respecte les règles du rgpd. Ce sera l’objet du prochain article.

J’aurai en effet le plaisir de vous expliquer très prochainement comment analyser les informations répertoriées et comment savoir si les traitements que vous effectuez et les outils que vous utilisez au quotidien respectent les obligations du RGPD et les droits des personnes concernées.

Et ceci je le ferai prioritairement pour les outils importants et surveillés que sont le site internet, la messagerie, la newsletter, le PMS, le CRM, les outils de réservation en ligne.

Prochains évènements

  1. Equip Hotel 2018 – Paris

    11 novembre - 15 novembre

David Campagne

David Campagne

Partenaire Reservit - Expert CHR et RGPD