Quels sont les impacts du nouveau Règlement Général de Protection des Données (RGPD) sur le secteur de l’hôtellerie ?

RGPD

Adopté en avril 2016, le RGPD, Règlement Général pour la Protection Des Données, sera applicable à partir du 25 mai 2018. Celui-ci a pour but d’uniformiser les droits liés à la protection de la donnée personnelle au sein de l’Union Européenne. Les entreprises n’ayant pas encore procédé à leur mise en conformité doivent désormais s’organiser pour respecter ce nouveau règlement, sous peine d’une amende pouvant aller jusqu’à 4% du Chiffre d’Affaires mondial ou 20 millions d’euros. Le secteur de l’hôtellerie, qui recueille chaque jour une quantité importante de données personnelles, est l’un des premiers concernés. Revoyons donc ensemble les impacts du RGPD pour les gérants d’établissements hôteliers, éditeurs de logiciels pour l’hôtellerie, et autres métiers du secteur.

Les principes généraux du RGPD

Le RGPD introduit de nouvelles obligations pour que toutes les entreprises gérant des fichiers clients, prospects, ou des fichiers du personnel assurent la protection des données personnelles qu’elles ont à leur disposition. Ces obligations concernent tout le cycle de traitement de la donnée :

  • La collecte
  • L’enregistrement
  • L’organisation
  • La structuration
  • La conservation
  • La modification
  • L’extraction
  • La consultation
  • L’utilisation, la transmission ou diffusion à des tiers
  • L’effacement ou la destruction

Est considérée comme une donnée à caractère personnel toute donnée « permettant d’identifier directement ou indirectement un citoyen » : le nom, prénom, l’adresse, la date de naissance, le numéro de téléphone, le numéro de sécurité sociale, les coordonnées bancaires ainsi que toutes les données liées au profilage (hobbies, comportements d’achat, revenus, situation familiale, et les données sensibles comme la religion ou les opinions politiques).

Le RGPD se base sur différents principes, que les entreprises devront désormais respecter :

  • Le principe de transparence
  • Le principe de limitation des finalités
  • Le principe de minimisation des données
  • Le principe d’exactitude des données
  • Le principe de limitation de la conservation des données
  • Le principe de sécurité, d’intégrité et de confidentialité des données
  • Le principe de responsabilité

Chacun de ces piliers introduit des obligations particulières pour le secteur de l’hôtellerie. Notons que le RGPD distingue deux responsables de la protection des données : le responsable de traitement (ici, les hôtels) et le sous-traitant (les éditeurs de logiciel et autres fournisseurs). Les contrats entre partenaires et sous-traitants devront donc être revus pour assurer la protection des données durant l’intégralité du cycle de traitement.

En pratique, que vont changer ces principes ?

Le RGPD implique des changements notables pour le traitement des données personnelles au sein de l’industrie hôtelière.

Le principe de transparence, notamment, exige d’informer le client sur la manière dont seront utilisées ses données, par mail ou pendant le remplissage de son formulaire en ligne par exemple.

La limitation des finalités est également un point important : elle exige que les données ne soient collectées que pour des finalités explicitement déterminées et jugées légitimes. Pour permettre une utilisation de ses données à des fins commerciales, le client devra avoir rempli un formulaire validant explicitement son consentement. Il ne sera donc plus possible d’inclure ce consentement de manière automatique dans les Conditions Générales de Vente.

Le principe de sécurité, d’intégrité et de confidentialité exige une véritable sensibilisation du personnel des hôtels pour lutter contre la divulgation des informations de leurs clients à des tiers (cela sera particulièrement le cas des palaces). Sur le plan technique, les établissements hôteliers et éditeurs de logiciel devront prendre des mesures de cyber-sécurité pour lutter contre le piratage de données.

Pour respecter le principe de responsabilité, ces derniers devront également tracer correctement leur traitement des données personnelles grâce à la tenue d’un registre, et être ainsi en mesure de prouver à la CNIL leur respect des obligations légales du RGPD.

Les hôtels et plateformes traitant des données à grande échelle devront également nominer un déléguer à la protection des données et mettre en place une analyse de risque d’impact sur la vie privée avant de procéder au traitement des données à caractère personnel. En cas de violation des données, ils auront 72h pour en référer à la CNIL et aux personnes concernées.

Les impacts business sur le secteur de l’hôtellerie

Outre les ajustements techniques et administratifs nécessaires à la mise en conformité légale (récolte des consentements, tenue des registres, ajustements des process, campagnes de sensibilisation auprès du personnel, etc.), les obligations du RGPD auront des conséquences commerciales pour certains acteurs du secteur de l’hôtellerie.

Les éditeurs de logiciels et hôtels ayant recours au profilage devront en effet repenser leur business model dans leur intégralité pour respecter la vie privée de leurs clients. Un coup dur pour certains, que l’on peut cependant choisir de considérer comme une opportunité business : en réinstallant la confiance au cœur de la relation client, les acteurs du secteur hôtelier pourront désormais être plus à l’écoute pour se recentrer sur leur activité principale et améliorer durablement la qualité de leurs prestations.

En avril, Reservit sera en conformité avec la nouvelle réglementation européenne sur la protection des données personnelles sur l’ensemble de nos  solutions. Nos clients auront les moyens d’informer facilement les internautes du traitement de leurs données personnelles et de leur offrir la possibilité d’exercer leurs droits. Si vous avez des questions, votre interlocuteur chez Reservit saura vous éclairer.

Estelle L.

Estelle L.

Social Media Manager