Tourisme & RGPD

En-tête Newsletter Tourisme 1800x800

Le 25 mai prochain, les entreprises et les acteurs institutionnels devront être prêts à appliquer le Règlement Général de la Protection des Données. Découvrons en quoi consiste ce règlement et de quelle manière les acteurs du tourisme seront impactés.

Un nouveau cadre législatif pour protéger les données personnelles
Le RGPD concerne toutes les données personnelles qui ont pu être collectées par les entreprises et les acteurs institutionnels. Il s’agit des données qui permettent, d’une manière ou d’une autre, d’identifier une personne physique. Cela concerne donc toutes les entités disposant par exemple d’un outil de gestion client dans lequel figurent des données telles que : noms, prénoms, dates de naissance, adresses email, photos, etc. Si elles peuvent les collecter pour améliorer cette gestion client et optimiser le parcours utilisateur, elles doivent s’engager, d’une part à ne pas les divulguer, d’autre part à les protéger de toute menace. L’article 32 du nouveau règlement européen stipule que  » le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque « .

En quoi les acteurs du tourisme sont-ils concernés ?
Les acteurs du tourisme collectent en permanence des données, c’est pourquoi ils doivent se tenir prêts pour le 25 mai 2018. Prenons par exemple un hôtel qui gère en ligne ses réservations. Il va naturellement collecter des noms, prénoms, adresses, numéros de téléphone, etc. Il est donc concerné par le RGPD et la nécessité de protéger les données, d’informer les utilisateurs du traitement de celles-ci et leur offrir un droit d’accès et de rectification.

Les offices de tourisme sont également concernés. Ces acteurs du tourisme ont besoin de collecter toujours plus de données. Pourquoi ? Parce que les voyageurs attendent un accompagnement toujours plus important. Or, pour cela, il est nécessaire de connaître ces voyageurs. C’est en collectant de nombreuses informations qu’il est possible d’améliorer leur parcours, de leur proposer des activités conformes à leurs attentes, des hébergements adaptés à leur budget, etc. La personnalisation est aujourd’hui un enjeu majeur pour les professionnels du tourisme avec des voyageurs désireux d’être guidés tout au long de leur voyage. Ainsi, les agences de voyage sont elles aussi concernées par le RGPD. Via les réseaux sociaux, leurs sites web, leurs applications, etc., elles collectent de nombreuses données. Formulaires d’inscription, jeux concours, newsletters : la digitalisation des services a multiplié les manières de collecter des données personnelles et le nombre de ces données pour cibler toujours plus.

Encartageglissé
La Commission nationale de l’informatique et des libertés (CNIL) a listé 6 étapes que devront suivre les acteurs du tourisme et autres entreprises collectant des données.

1) Désigner un responsable du traitement des données qui aura pour rôle d’informer et de conseiller les personnes qui traitent ou sous-traitent les données. Il devra également contrôler que la gestion des données est bien en accord avec le Règlement Général sur la Protection des Données. C’est lui qui sera également en charge de la coopération avec l’autorité de contrôle.

2) Cartographier le traitement des données. Une documentation interne doit être tenue afin de recenser les différentes manières de collecter des données et de les traiter. Cette cartographie doit ainsi prendre en compte les catégories de données personnelles traitées, l’objectif de ce traitement, les personnes qui ont accès à ces données et les flux de données. Les entreprises doivent également pouvoir informer de la durée de conservation des données personnelles.

3) Se conformer aux obligations du RGPD. Les entreprises ont à présent désigné un responsable du traitement des données, elles ont pu mettre en place un système permettant d’identifier parfaitement la nature de ce traitement, il est temps de tout mettre en œuvre pour respecter le règlement européen qui sera applicable au 25 mai prochain. Pour cela, une fois de plus, il convient de respecter plusieurs étapes. Il faut s’assurer que seules les données nécessaires sont traitées, que cela est bien légal (par exemple, il faut se poser la question de savoir si les consommateurs ont donné leur accord pour le traitement de leurs données personnelles) et que les mentions d’information sont bien conformes aux exigences du règlement. Dans le cadre d’une sous-traitance des informations, les entreprises doivent également veiller à ce que ces sous-traitants respectent la sécurité et la confidentialité des données. Il faut enfin vérifier que toutes les mesures de sécurité sont en place.

4) Gérer les risques. Cette notion de sécurité précédemment évoquée nous amène à présent à évoquer les divers risques. Pour respecter le RGPD, il faut tout d’abord réaliser une analyse d’impact sur la protection des données (PIA). La PIA contient une description du traitement des données et de ses finalités, une évaluation de la nécessité des opérations de traitement au regard de ces finalités ainsi qu’une évaluation des risques. Lorsque l’on évoque un risque en matière de données, on parle de piratage, d’accès aux données, de protection des bâtiments et des serveurs, etc. Le risque est que les données personnelles soient utilisées de manière frauduleuse.

5) Mettre en place des procédures pour s’assurer que les données sont toujours protégées. Dans le cadre du respect de la vie privée, le hasard n’a pas sa place. Les entreprises doivent, en amont, prendre en compte la protection des informations personnelles, sensibiliser chaque collaborateur y ayant accès, organiser le traitement des réclamations des consommateurs qui souhaitent exercer leur droit d’accès, de rectification, etc. Enfin, il convient d’anticiper la violation des données en informant la CNIL et les consommateurs concernés.

6) La dernière étape consiste à documenter la conformité. Cela signifie que les entreprises et les acteurs institutionnels doivent mettre en place un registre des traitements, encadrer les transferts, informer les personnes concernées par le traitement des données personnelles et définir le rôle de chacun, qu’il s’agisse des collaborateurs ou des sous-traitants.

Encartageglissé

La CNIL veille au grain. Cette autorité administrative a pour mission, depuis 1978, de s’assurer que les données personnelles des consommateurs sont bel et bien préservées. Dans le cadre du RGPD, elle a fait le choix d’accompagner les professionnels en amont en proposant un guide complet leur permettant de se mettre en conformité avec la loi Informatique et Liberté et le RGPD. Si vous êtes concerné, vous pouvez retrouver ce guide ici :

https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

Encartageglissé
Tandis que certains s’inquiètent de la mise en place des différentes étapes pour se conformer au RGPD, d’autres ont parfaitement compris en quoi cette nouvelle règlementation peut être une opportunité pour les acteurs du tourisme. En effet, cette transparence accentuée et l’assurance d’une meilleure protection des données sera naturellement plus rassurante pour les consommateurs. De plus, en annonçant une meilleure gestion des données personnelles, les acteurs du tourisme vont pouvoir offrir une meilleure expérience utilisateur, et c’est bel et bien ce que ces derniers attendent. Selon une étude américaine, 72% des clients acceptent de partager des données personnelles si cela leur permet de bénéficier d’une plus grande personnalisation. La relation client va nettement s’améliorer, dans un climat de confiance plus important, les acteurs du tourisme vont ainsi pouvoir offrir une réelle valeur ajoutée à leur service.

Laisser un commentaire