En vigueur depuis le 25 mai 2018 dans tous les États de l’Union européenne, le Règlement Général sur la Protection des Données (RGPD) vise à renforcer et à unifier la protection des données pour tous. La mise en conformité des normes du RGPD incombe aussi bien aux particuliers qu’aux entreprises.
En cela, le propriétaire d’un hôtel est aussi soumis à l’obligation de confirmer le traitement et l’utilisation des données personnelles qu’il reçoit aux normes RGPD. Voici comment y parvenir !
Comprendre le RGPD pour les hôtels
Le Règlement Général sur la Protection des Données a subi tout un processus pour être aujourd’hui applicable dans les 28 États membres de l’Union européenne (UE). Il prend sa source de la directive de 1995 sur la protection des données (Directive 95/46/EC).
De façon générale et pour la notion de RGPD pour les hôtels en particulier, c’est le consommateur qui est davantage favorisé. Les normes prévues par cet outil obligent les entreprises à faire preuve de transparence dans la manière dont les données personnelles sont collectées, stockées et partagées. La réglementation est davantage accentuée pour les hôtels en raison de la nature de ce genre d’entreprise. Les diverses sources de stockage de données sont les réservations OTA et les systèmes PMS. Outre les services de l’hôtellerie, les agences de voyages sont aussi concernées par ces normes du RGPD.
La mise en conformité du RGPD pour les hôtels permet aux partenaires de s’adapter à chaque étape du traitement des données personnelles des clients. Ces mesures concernent les décideurs et les acteurs clés des hôtels de l’Union européenne. En clair, les membres du personnel qui doivent impérativement comprendre le RGPD pour les Hôtels sont :
- le directeur général ;
- le directeur du marketing ;
- le directeur des revenus.
Selon le niveau d’intervention de chacun de ces acteurs, ils auront accès aux données personnelles relatives aux clients et aux employés. Pour cela, ils doivent examiner en détail le mode de traitement adapté pour la mise en conformité des normes.
Conformité au RGPD pour hôtel : les types d’informations concernées
Cela concerne les données personnelles des clients et des employés de l’entreprise. Bien entendu, il faudrait que l’hôtel soit installé dans l’espace de l’Union européenne pour que cette exigence s’applique. Lorsque ce paramètre est vérifié, les responsables de l’hôtel doivent documenter les données personnelles et vérifier clairement avec qui elles sont partagées. Au besoin, l’organisation d’un audit des informations peut s’avérer utile.
De façon concrète, les données personnelles intègrent toutes les informations relatives à une personne identifiable. Il s’agit notamment du nom, de l’adresse e-mail, du numéro de téléphone, de l’adresse IP, du numéro de réservation ou autre information qui favorise une identification de manière singulière.
En parallèle aux données personnelles, il y a aussi celles qui sont jugées « sensibles » et prévues par le RGPD. Pour les informations de cette dernière catégorie, le RGPD prévoit des protections supplémentaires. Comme exemples de données sensibles, on peut par exemple citer l’appartenance à un syndicat, et donc, la participation à un événement spécifique. La biométrie est aussi considérée comme étant une donnée sensible. Une empreinte digitale stockée pour l’ouverture d’une porte ou l’accès à un service sera classée dans cette catégorie.
En clair, cela prend en compte les données personnelles et celles qui sont les moins susceptibles de figurer dans les systèmes hôteliers. Elles seront alors considérées comme étant des données sensibles.
Le rôle des logiciels
L’application des règles de traitement des données en vue de leur mise en conformité incombe aussi aux logiciels utilisés par l’entreprise. En clair, si l’hôtel se sert d’une application de traitement des données, il faudra soumettre celle-ci aux obligations similaires à celles de l’hôtelier.
Pour aller plus loin, le fournisseur qui reçoit des données personnelles d’un hôtel doit partager un accord de traitement des données (DPA) avec l’hôtelier. C’est une mesure qui vise à confirmer la conformité du fournisseur aux règles du RGPD. De façon concrète, le DPA précise les conditions dans lesquelles le sous-traitant analyse les données personnelles recueillies.
Si le logiciel est acquis par l’hôtel et que l’entreprise en fait une utilisation sans l’intervention d’un sous-traitant, il faudra un autre contrat de gestion. Cet accord doit être établi entre l’hôtel et l’éditeur du logiciel. Il précisera, de façon concrète, l’implication de chaque partie dans la gestion des données. Il faut donc une bonne communication entre les deux parties afin que celle-ci soit répercutée sur les clients et les employés.
Il faut aussi préciser à ce niveau que pour la conformité du RGPD pour les hôtels, les fournisseurs de logiciels des hôtels doivent idéalement être basés en Union européenne. Autrement, il faudra faire face à certaines limites liées au transfert des données en dehors de l’UE/EEE. Cela est aussi valable pour les logiciels dont les serveurs sont basés hors de l’UE.
Vérifiez la disponibilité d’un accord de traitement des données. Il s’agit d’un accord obligatoire pour les sous-traitants. Vérifiez aussi l’existence d’une base légale pour le transfert des données. Si le fournisseur du logiciel adhère au Privacy Shield, la base légale est respectée. À défaut, il existe d’autres mécanismes qui sont aussi autorisés par le RGPD.
Communiquer des avis de confidentialité aux clients : les astuces pour l’hôtel
La politique de confidentialité des hôtels ne se rédige pas au hasard. Il faut d’abord tenir compte des avis de confidentialité actuels avant de mettre en place un plan de modifications. Cela permettra de mettre en œuvre le RGPD pour votre hôtel. Il faudra considérer le traitement des données comme une sorte de communication marketing. Comme tel, le consentement explicite des clients est nécessaire au moment de l’enregistrement de leurs données personnelles. Les programmes de fidélité doivent aussi être pris en compte pour des similarités si des données doivent être utilisées ici.
