La mise en conformité des hôtels aux lois RGPD implique une mise en place spécifique et rigoureuse de solutions afin d’éviter d’être pris pénalement à défaut.
Réglementation RGPD en France : lois, application, contrôle et sanctions
Le Règlement Général sur la Protection des Données (RGPD), entrée en vigueur le 25 mai 2018, est un texte de loi du Parlement Européen qui responsabilise les entreprises quant à la collecte, le traitement et la conversation des données à caractère personnel.
Ce corpus de lois vient compléter et renforcer la loi française informatique et Libertés de 1978 et prévoit une augmentation notable du pouvoir des autorités de contrôle ainsi que des sanctions en cas de contravention.
Concrètement, les entreprises doivent pouvoir garantir et prouver leur conformité en matière de collecte et protection des données personnelles des utilisateurs (prospects, clients ou employés) ainsi que le droit à l’accès et au retrait de ces données.
La CNIL demande une mise en place en plusieurs étapes qui inclut la désignation d’un délégué à la protection des données, le recensement des données, l’analyse des risques et la mise en place d’actions correctives, si nécessaire, grâce à l’établissement de procédures internes et la tenue d’un registre de traitement des données et de documents justificatifs.
En cas de non-conformité lors de contrôles, une série de sanctions peuvent être appliqué et qui, selon la sévérité des manquements, peuvent aller de la simple mise en demeure à la suspension des traitements des données accompagnées d’amendes et de sanctions administratives voir et pénales selon les cas.
L’une des premières amendes administratives peut atteindre jusqu’à 10 000 000 € ou jusqu’à 2 % de son chiffre d’affaires annuel mondial total de l’exercice précédent !
Les spécificités de l’application de lois RGPD pour les hôtels
Les hôtels, du fait de leur large clientèle et base de prospection, sont particulièrement concernés par le RGPD. Les principales dispositions de cette réglementation sont assez nombreuses et visent toutes à rendre les entreprises responsables du bon traitement des données.
Celles-ci peuvent être trouvées, selon leurs principes généraux, sur le site dédié de la CNIL.
Les hôteliers sont ainsi responsables de la collecte, du traitement, et de la rétention en conformité des données de leurs clients, de leurs prospects, mais aussi de leurs employés – et ce que leur stockage soit effectué en interne ou bien chez un prestataire.
Outre les données collectées sur internet ou via des outils marketing spécialisés – qui suppose déjà la conformité de consentement, d’accès et de conservation/suppression des données – les hôtels ont accès lors du check-in de leurs clients à des données personnelles sensibles, tels passeports ou pièces d’identités, mais également souvent à des données bancaires via le paiement.
Ces données sont conservées bien souvent au-delà des durées légales, et peu rarement en conforme avec les préconisations de sécurités pour de telles données.
Il incombe également aux hôteliers de vérifier que tous les prestataires auxquels ils font appel gèrent leurs données en conformité avec la RGPD. Cela inclut en particulier les éditeurs de logiciel PMS, les logiciels POS ou les fournisseurs d’accès WiFi. Un hôtel ne peut donc se défausser sur ses prestataires et les rendre responsables des données personnelles qu’ils ont collectées ou qu’ils gardent et/ou utilisent.
Spécificités de droit RGPD appliqué à l’hôtellerie
Le RGPD pour les hôtels ne diffère pas substantiellement dans son esprit à celle d’une entreprise classique. La manière dont les hôtels et groupes hôteliers, obtiennent et collectent des données personnelles en font en revanche des cas singuliers.
Une solution globale, adaptée et pertinente passe donc par :
- Une infrastructure informatique avec matériels et logiciels adaptés et sécurisés;
- Une arborescence avec un accès restreint et sélectif aux données personnelles;
- Une solution de sauvegarde des données adaptée, régulière et chiffrée;
- Une sécurisation des réseaux locaux et WiFi de l’hôtel;
- La formation interne aux bonnes pratiques en termes de sécurité informatique, que cela soit pour les dirigeants ou les employés;
- L’accompagnement à la création de registres de traitement de données, l’identification et la mise en place des actions correctives potentielles;