RGPD – Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?
Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :
– Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)
– Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.
– Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).
Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment le département de la conciergerie dans le secteur du luxe.
LA COLLECTE DE CES DONNÉES EST SOUMISE AU RGPD
Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.
Cela signifie que les données collectées doivent être :
– Traitées de manière licite, loyale, transparente au regard de la personne concernée
– Collectées pour des finalités déterminées, explicites et légitimes
– Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées
– Exactes et, si nécessaires, tenues à jour
– Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
– Traitées de façon à garantir une sécurité appropriée des données à caractère personnel.
QUELLES OBLIGATIONS AU TITRE DU RGPD ?
(Quelques exemples)
A) Des mentions d’informations :
Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :
– Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.
– Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage…
– La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:
· de l’identité et des coordonnées du responsable du traitement
· le cas échéant des coordonnées du DPO
· des finalités du traitement et la base juridique du traitement
· les destinataires ou les catégories de destinataires des données à caractère personnel
· les transferts de données en dehors de l’Union européenne
L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie:
– Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.
B) Registre de traitement
L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme.
Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.
Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité…
Nos experts sont à votre écoute.
La nouvelle plateforme E6 – RGPD vous accompagne dans votre mise en conformité…Demandez des détails.
Contact : Espar System SAS
– Mail : contact@espar6.com
– site web :www.espar6.com
Tél : +33 (0) 987 388 512
Président : Olivier GOURIO, ex CEO & Fondateur du Groupe Hôtels & Patrimoine sécurité