Tous les secteurs d’activités sont concernés par la RGPD, mais l’hôtellerie est probablement l’un de ceux qui aura les plus grands changements à mettre en œuvre pour s’y conformer.
Une course à la récolte de données
Informations d’identité, plaques d’immatriculation, historiques d’accès aux services connectés, heures d’entrée et de sortie, personnes accompagnant le client, informations bancaires… bon nombre de données personnelles, dont certaines à caractère sensible*, sont recueillies par les hôtels dans un but de fidélisation, d’amélioration de l’expérience client, ou de sécurité.
Par ailleurs, les moyens de collecte des données ne cessent de se diversifier au fur et à mesure que le secteur intègre les nouvelles technologies, comme la carte magnétique ou la biométrie permettant d’accéder aux pièces du bâtiment (le gabarit biométrique étant une donnée sensible au sens du règlement européen).
Aussi, les hôtels disposent de nombreux systèmes de vidéo-surveillance. Pour que ceux-ci soient utilisés en conformité à la réglementation, il faut penser à informer les clients de leur existence, à limiter les autorisations d’accès aux images, et à respecter les délais de conservation.
Les nouvelles technologies de collecte d’informations, les stratégies marketing et la personnalisation à outrance du service client ont engendré de vastes réseaux où transitent les données que les hôtels doivent maîtriser.
Les particularités du secteur hôtelier
Evidemment, chaque secteur d’activités connait ses particularités, ses difficultés, ses procédures qui lui sont propres. Et l’hôtellerie fait partie de ces secteurs qui collectent énormément de données personnelles et qui doivent, par conséquent, respecter un processus précis afin d’être sûr de se conformer le plus rapidement et efficacement possible au GDPR.
En effet, en plus des obligations inhérentes au règlement GDPR que doivent suivre toutes entreprises gérant des données personnelles sur le vieux continent, l’hôtellerie doit s’acquitter de certains aspects de la loi, moins connus, mais qui restent tout aussi essentiels aux yeux de la CNIL.
En voici quelques exemples :
- La base légale pour le traitement des données
Les hôtels ne peuvent collecter les données personnelles que s'il y a une raison légale. Toutes les questions posées (lors de la réservation, sur les cartes d'inscription, les formulaires en ligne, etc.) doivent être absolument nécessaires.
- Les contrats existants
Les hôtels sont responsables des données qu’ils possèdent même si celles-ci sont gérées par des sous-traitants. Les fax représentent encore un quart des demandes de réservation entre des intermédiaires et les hôtels.
- Les enfants
L’accord du responsable légal doit être recueilli pour pouvoir traiter les données d’un mineur.
- Les usages
Badge d’accès à la chambre, services WiFi ou autres services connectés, services de conciergerie sont autant de risques d’infraction au règlement.
- Les hôtels internationaux ou appartenant à un groupe
Les hôtels ayant plusieurs propriétés doivent sélectionner un établissement de gérance des problématiques GDPR.
Vous l’aurez compris, la nouvelle réglementation sur les données personnelles nécessite un grand travail de structuration. Au niveau humain d’une part : une formation du personnel doit être organisée pour sensibiliser sur les sujets du GDPR, mais également sur le plan matériel : tous les formulaires online (site internet de réservation…) ou papier (formulaires d’inscription…), les cartes d’enregistrement, les systèmes de biométrie…, en sommes, tous les éléments qui vont collecter des données personnelles.
L’objectif est désormais de cartographier les flux de données afin d’en maîtriser les entrées et sorties et de pouvoir justifier d’une parfaite conformité au GDPR.