Respectez-vous les principes RGPD ? Analyse

Aide au RGPD : David Campagne vous accompagne : 

J’ai pu vous expliquer précédemment la première phase d’une démarche de mise en conformité RGPD (recenser et cartographier les différents traitements de données personnelles effectués dans votre établissement CHR).

Mon propos aujourd’hui est de vous expliquer la seconde phase qui consiste à analyser les traitements mis en œuvre dans votre structure pour savoir s’ils respectent ou non les principes introduits par le RGPD.

Les traitements que vous effectuez (directement ou indirectement par le biais d’un prestataire) doivent en effet répondre à certains principes énoncés dans le texte même du règlement.

Limitation des finalités

Vous ne pouvez collecter des données personnelles qu’à des fins spécifiques précises et claires.

Concrètement dans les CHR :

Dans l’hôtellerie, ces finalités vont concerner : l’acquisition de prospects, la réservation et le déroulement d’un séjour, la personnalisation de l’expérience client, sa satisfaction, sa sécurité, l’obligation de la fiche de police, l’analyse marketing et commerciale….

Concernant plus particulièrement les salariés, vous collectez des données personnelles pour effectuer une formalité, être en mesure de payer le salaire mensuel, pour l’inscrire en formation…..

On ne collecte pas des données pour collecter des données, au cas où…mais pour une raison bien précise.

Et en fonction de la finalité recherchée par le traitement, vous devez, sauf exception, être en mesure de prouver que vous avez obtenu l’accord non équivoque de la personne concernée.

Licéité du traitement

Vous ne pouvez effectuer un traitement de données qu’avec l’accord de la personne concernée sauf si le traitement est par exemple nécessaire à l’exécution d’un contrat, d’une prestation ou du respect d’une obligation légale.

Concrètement dans les CHR :

Le consentement n’a ainsi pas à être explicitement donné et recueilli si les données personnelles collectées le sont parce qu’une obligation vous y oblige, (la fiche de police pour les clients, la DUE pour les salariés) parce qu’elles sont nécessaires à l’exécution d’un contrat (enregistrement de la réservation, établissement et traitement de la facture pour le client, établissement de la paie mensuelle pour le salarié….).

Pour toute autre finalité (personnalisation du séjour, suivi du client avant pendant et après le séjour, inscription à une newsletter, proposition de services en fonction de la géolocalisation, prospection commerciale directe ou indirecte, test de personnalité, test de motivation, enquête, sondage ….) la personne concernée doit accepter clairement que ses données soient collectées. Nous y reviendrons.

Minimisation des données

Vous ne pouvez traiter que les données dont vous avez besoin pour atteindre votre objectif initial, la finalité recherchée, ni plus ni moins.

Concrètement dans les CHR :

Prenez du recul et faites un point sur l’ensemble des informations personnelles que vous collectez sur vos clients ou vos salariés.

Pourquoi demander à vos clients leur date de naissance, de mariage, si cela ne vous sert à rien…. ?

Pourquoi leur demander s’ils ont des préférences alimentaires, des allergies si vous ne vous servez pas de ces informations au moment de son séjour ?

Pourquoi demander au candidat lors d’un recrutement la profession de ses parents ou de sa femme, pourquoi lui demander à ce moment-là sa situation maritale, s’il a des enfants ou non ?

Loyauté et transparence

Vous devez collecter des données personnelles de manière loyale et transparente vis-à-vis de la personne concernée.

Concrètement dans les CHR :

Lorsque par exemple vous affirmez à votre client que les informations collectées servent uniquement à l’administration de son séjour dans votre établissement, cela veut dire que vous ne les exploitez pas indirectement à des fins commerciales,  pas pour améliorer son expérience client, pas pour transmettre ses coordonnées à l’un de vos partenaires, pas pour qu’il reçoive des incitations publicitaires géolocalisées….

Je dis ce que je fais et je fais ce que je dis.

Et ce que vous dites aujourd’hui sur le traitement des données  que vous collectez devra être valable demain. Vous devez vous assurer que les données ne seront pas traitées ultérieurement  d’une manière incompatible avec les finalités exposées précédemment.

Limitation de la conservation

Vous ne pouvez conserver les données collectées, (exactes ou mises à jour), que pendant une durée qui n’excède pas celle nécessaire à la réalisation de la finalité recherchée.
Concrètement dans les CHR :

Il vous revient d’effacer les données à caractère personnel que vous détenez sur vos salariés, vos clients des que ces informations ne vous sont plus nécessaires.

Vous êtes le seul juge de cette appréciation. Pour vous aider à fixer une durée, il est utile de se caler sur les délais de prescription qui peuvent déjà exister :

.5 ans pour les fiches de paie

.3 ans à compter de la fin de la relation commerciale pour les informations  liées à la réservation

.10 ans pour un contrat commercial s’il est conclu par voie électronique

.5 ans pour les données de facturation

.13 mois pour les cookies/mesures de statistiques d’audience

Sécurité, intégrité et confidentialité

Vous devez adopter des moyens techniques ou prendre des mesures liées à votre organisation qui garantissent que les données que vous traitez sont sécurisées, intègres et confidentielles.
Concrètement dans les CHR :

Si le personnel de réception doit avoir légitimement accès à l’ensemble des informations liées à la réservation et à la facturation, vous devrez veillez à ce que le personnel d’étages n’ait accès qu’aux seules informations techniques dont il a besoin (cardex….) et pas forcément aux données financières du client et à la facturation………

A vous de prendre les mesures techniques pour :

.qu’il soit impossible qu’un salarié fasse anonymement et sans votre permission une extraction des données de votre PMS, du fichier client du CRM, que personne ne puisse divulguer, transmettre, revendre des informations à la concurrence ou à un tiers mal attentionné

.identifier et tracer qui a eu accès à certaines informations, qui a activé ou désactivé un badge, donné ou pas une autorisation, un accès à telle ou telle personne

.crypter par exemple les informations liées aux virements de salaire…..

Sans devenir paranoïaque, votre responsabilité d’exploitant est d’y réfléchir, de faire ce doit l’être pour la sécurité des données de tous et que celles-ci soient protégées, à l’abri de toute destruction, perte ou vol.

Responsabilité

Vous devez être capable de démontrer et de prouver en cas de litige ce que vous avez pu mettre en œuvre  concernant le RGPD, le respect de ses obligations, de ses principes.

Concrètement dans les CHR :

Il pèse sur vos épaules de professionnel(le) CHR une véritable obligation de résultat, et non pas de moyens. La notion de traçabilité est importante. Vous êtes libre de vous organiser à peu près comme bon vous semble mais charge à vous de garantir l’efficacité des mesures prises.

Cette responsabilité pèse sur vous mais aussi sur les sous-traitants prestataires avec lesquelles vous avez décidé de travailler: cabinet comptable, prestataire informatique, CRM, PMS, centrale de réservation, channel manager, solution emailing marketing….

Vous êtes la première personne à laquelle des comptes vont pouvoir être demandés. Il vous revient de garantir que vous et vos prestataires respectez bien le cadre.

Prenez maintenant du recul pour analyser si vos différents traitements respectent les principes mis en avant par le RGPD. Si ce n’est pas le cas, il conviendra d’ajuster vous-même directement (et/ou par l’intermédiaire de vos outils ou prestataires) ce qui doit l’être sur vos supports papiers ou digitaux (formulaires, contrats…)

Lors du prochain article, je reviendrai spécifiquement sur les outils que vous utilisez au quotidien (site internet, PMS, CRM, newsletter, mailing marketing…). Vous saurez alors si vous les utilisez dans des conditions conformes aux obligations du RGPD et aux droits des personnes concernées.

David Campagne

David Campagne

Partenaire Reservit - Expert CHR et RGPD