Les données personnelles dans les CHRD 

Les actions que doivent mener les PMEs pour être sécurisées & conformes…

Les experts d’Espar 6 vous accompagnent :

Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée
  • Collectées pour des finalités déterminées, explicites et légitimes
  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées
  • Exactes et, si nécessaires, tenues à jour
  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

Quelles obligations au titre du RGPD ?

Des mentions d’informations :

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

  • Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.
  • Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage…
  • La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment :
  • De l’identité et des coordonnées du responsable du traitement
  • Le cas échéant des coordonnées du DPO
  • Des finalités du traitement et la base juridique du traitement
  • Les destinataires ou les catégories de destinataires des données à caractère personnel
  • Les transferts de données en dehors de l’Union européenne (stockage ou usage auprès d’un fournisseur hors EU)

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie :

– Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

Concrètement, ESPAR 6 accompagne les hôteliers et leurs fournisseurs dans leur mise en conformité :

Espar 6, expert en cyber sécurité et spécialiste de la protection informatique au sein des PMEs, a développé une plateforme numérique collaborative E6-RGPD pour accompagner les entreprises dans leur programme de mise en conformité :

De plus, Espar 6 propose à ses clients, une formation – sensibilisation pour tous les collaborateurs sur le sujet des risques « cyber » afin de sensibiliser les salariés à la protection des données et de leur parc informatique.

Contact:

Olivier GOURIO Head Office : 23, rue Auguste Mayet

CEO Founder & Partner 92600 Asnières sur Seine

Mob : +33 (0) 6.13.02.58.00 Tél : +33 (0) 9.87.38.85.12

Mail : o.gourio@espar6.com  

Mail : contact@espar6.com 

www.espar6.com