RGPD pour les hôtels : voici ce que vous devez savoir (2023)

Par Hotel Tech Report

Dernière mise à jour Décembre 01, 2022

6 minutes de lecture


description de l’image

À la suite de problèmes liés au COVID, comme la conformité au RGPD, elle est tombée à la taille. Bien que ce ne soit pas un sujet aussi populaire, il est toujours important que chaque hôtelier comprenne les concepts de base de la législation européenne sur la protection de la vie privée.

Votre hôtel est-il conforme au Règlement Général sur la Protection des Données, plus communément appelé RGPD ? Peut-être avez-vous subi une mise en ?uvre majeure pour mettre votre hôtel en conformité. Ou peut-être avez-vous hésité face au coût d'un tel projet et adopté l'approche « croisons les doigts » selon laquelle votre petite marque ne sera pas la cible d'audits de conformité.

Où que vous vous trouviez sur ce spectre, le risque de non-conformité au RGPD pour votre hôtel est relativement élevé. 281 000 cas ont été soumis aux régulateurs au cours de la première année du RGPD, les entreprises risquant une amende maximale de 20 millions d'euros ou 4 % du chiffre d'affaires annuel, selon le montant le plus élevé. Et en juillet 2019, les risques de non-conformité pour les hôtels ont été soulignés par une amende record de 125 millions de dollars infligée à Marriott pour une violation majeure des données en vertu de la réglementation. Le dommage PR seul est probablement plus coûteux que l'amende !

Pour une industrie qui regroupe et partage des données sur des sites Web, des gestionnaires de canaux et des moteurs de réservation tiers, le RGPD a été une énorme douleur. Cela a également été incroyablement coûteux, Forbes estimant le coût mondial de la conformité à plus de 9 milliards de dollars. Et cela ne concerne que les plus grandes entreprises ! Les petites et moyennes entreprises consacrent énormément de temps et d'argent à la conformité.

Malgré cet investissement, le règlement n'a tout simplement pas fonctionné comme prévu. C'est une initiative bien intentionnée qui a été horriblement exécutée. Dans cette introduction rapide « RGPD pour les nuls », nous verrons comment tout a commencé fort et où cela s'est mal passé, et vous donnerons une liste de contrôle complète du RGPD pour les hôtels afin que vous puissiez vous conformer sans vous ruiner.

Qu'est-ce que la loi sur la protection des données (RGPD) ?

Le RGPD, qui signifie Règlement général sur la protection des données , est entré en vigueur dans l'UE le 25 mai 2018. L'adoption de la loi a été marquée par un conflit brutal entre ceux qui croient au rôle du gouvernement dans la protection de la vie privée des consommateurs par la réglementation et ceux qui croient qu'un marché libre doit prévaloir.

Le RGPD prévoit "la protection des personnes physiques à l'égard du traitement des données personnelles et de la libre circulation de ces données". En tant que refonte majeure de la manière dont les entreprises sont censées traiter, gérer et stocker les données, le RGPD a également donné aux individus un contrôle plus granulaire sur leurs données.

Dans le cadre du RGPD, les données font référence à la fois aux données personnelles, telles que les noms, les adresses IP ou tout ce qui pourrait être utilisé pour identifier une personne, et aux données personnelles sensibles, telles que le matériel génétique, les opinions politiques, l'orientation sexuelle, etc.

Toute organisation qui agit en tant que responsable du traitement ou sous-traitant de données personnelles est couverte par le RGPD. Un contrôleur de données est l'entité qui détermine la manière dont les données sont utilisées pour que le processus démarre tandis que le processeur de données est toute entité qui n'est pas un employé du contrôleur de données qui traite les données au nom du contrôleur.

Pour les hôtels, cette distinction est importante, car ils peuvent agir en tant que « contrôleur » des données (c'est-à-dire les réservations directes) tandis que leurs fournisseurs sont considérés comme des « sous-traitants » des données (c'est-à-dire les réservations effectuées sur des plateformes tierces). Sauf disposition contraire régie par un contrat, le Responsable du traitement est responsable de toute conformité au RGPD.

Face à une amende potentielle pouvant atteindre 25 millions d'euros ou 4 % du chiffre d'affaires, les hôtels doivent placer le client au centre de toutes les stratégies de protection des données. Nous aborderons cela plus tard dans notre liste de contrôle GDPR pour les hôtels.

Liste de contrôle RGPD de l'hôtel

Pour mettre votre hôtel en conformité, ainsi que pour maintenir cette conformité dans le temps, cela nécessite une approche réfléchie et holistique. Vous devrez réfléchir attentivement à la manière dont les données sont partagées entre les systèmes internes, ainsi qu'à la manière dont ces données circulent dans les deux sens depuis des systèmes tiers qui ne sont pas directement sous votre contrôle.

Étant donné que le RGPD attribue la responsabilité à votre hôtel en tant que contrôleur de données, il est essentiel que vous compreniez comment les données circulent à chaque étape. Voici une liste de contrôle GDR pour les hôtels :

  1. Audit. Entreprenez une analyse pour examiner les processus internes, les contrats avec les fournisseurs, les bases de données existantes et la façon dont les données circulent entre les systèmes. Vous devez comprendre quelles informations vous possédez et qui y a accès. Cette clarté devrait informer tout ce que vous faites à partir de maintenant.

  1. Communiquer. Demandez aux fournisseurs existants leurs politiques de conformité des données. Nous devons avoir une image claire de la façon dont les données de votre hôtel interagissent avec leurs systèmes et identifier les vulnérabilités ou les fournisseurs mal informés. Après avoir parlé à vos fournisseurs existants, il est peut-être temps d'évaluer d'autres options. Lorsque vous travaillez avec un fournisseur conforme au RGPD, comme le GMS (CRM) de TravelClick, le moteur de réservation iHotelier ou un constructeur de site Web d'hôtel , vous éliminez le stress lié à la conformité sans lever le petit doigt. La conformité est intégrée au produit afin que vous ayez l'esprit plus tranquille.

  1. Planifier. Une fois que vous avez votre audit et votre pile technologique mise à jour, l'étape suivante consiste à créer un plan de gouvernance. Vous voulez un cadre pour la gestion des données, y compris des politiques et des processus pour éliminer les lacunes potentielles dans la façon dont votre hôtel gère les données des clients. Vous aurez besoin de rôles et de responsabilités clairement définis pour le personnel, tels que l'attribution de la responsabilité du traitement des demandes de données entrantes des consommateurs. Vous souhaiterez également créer un plan d'action étape par étape en cas de violation de données à mettre en ?uvre en cas d'incident, de piratage ou de violation lié aux données.

  1. Exécuter. Il est maintenant temps de travailler le plan! Choses que vous voulez être sûr d'inclure :

    1. Consentement explicite : demandez aux visiteurs de votre site Web d'accepter les cookies, plutôt que d'installer automatiquement des cookies et de les désactiver. Vous devrez également savoir quand et où chaque personne a consenti (ou a révoqué ce consentement).

    2. Politique de confidentialité : mettez à jour votre politique de confidentialité pour inclure des informations pertinentes sur la conformité au RGPD, telles que la manière dont vous utilisez les données et la manière dont les utilisateurs peuvent se désinscrire.

    3. Réception : assurez-vous que vos politiques de collecte de données à la réception sont conformes, car tout ce que vous collectez hors ligne doit également être conforme au RGPD.

    4. Données existantes. Le RGPD s'applique à toutes les données personnelles, peu importe quand elles ont été capturées. Étant donné que les données sont également soumises à de nouvelles règles et réglementations, vous voulez vous assurer qu'elles sont également conformes !

  1. Former. La conformité est seulement aussi bonne que votre maillon le plus faible. En formant le personnel à adhérer à ces politiques, vous serez moins vulnérable aux problèmes liés au RGPD. Éduquez votre personnel sur ce qui peut conduire à une violation de données et sur la manière dont il peut contribuer à la prévenir, notamment en surveillant les signaux d'alerte. mettre en place un processus clair permettant au personnel de signaler toute erreur ou tout autre problème lié aux plaintes à la direction. Il devrait y avoir un environnement sans peur qui donne la priorité à la transparence plutôt qu'à la punition.

  1. Maintenir. La maintenance est beaucoup moins contraignante que la conformité. Revoyez régulièrement chaque aspect de votre programme de protection des données pour détecter tout changement inattendu ou tout nouveau problème de conformité.

La loi informatique et libertés est une initiative bien intentionnée...

Les intentions derrière la loi sur la protection des données étaient bonnes : il s'agissait de créer davantage de contrôles pour les consommateurs à l'ère numérique actuelle, axée sur les données. Dans la plupart des pays et régions, les lois existantes sur la protection de la vie privée ont été promulguées avant qu'Internet ne prenne le relais. Le règlement visait à rattraper les réglementations jusqu'au commerce.

Pour atteindre cet objectif de contrôle accru à l'ère numérique actuelle, le règlement a consacré sept droits individuels fondés sur les principes fondamentaux de la protection des données :

  1. Le droit d'être informé. Les entreprises doivent spécifier quelles données sont collectées, pourquoi elles ont été collectées, à quoi elles seront utilisées et combien de temps elles seront stockées. Les entreprises doivent également avoir des raisons claires de stocker des données pendant cette durée.

  1. Le droit d'accès. Les personnes peuvent accéder aux données personnelles sur demande, dans un format facilement lisible.

  2. Le droit de rectification. Les particuliers peuvent consulter, modifier et corriger les données que les entreprises détiennent à leur sujet.

  3. Le droit à l'oubli. Les individus peuvent demander la suppression d'informations les concernant et les entreprises doivent équilibrer l'intérêt individuel avec le bien public lorsqu'elles accordent des demandes de suppression.

  4. Le droit de limiter le traitement. Les personnes ont le droit de restreindre le traitement de leurs données personnelles lorsqu'elles ont une raison particulière de vouloir la restriction.

  5. Le droit à la portabilité des données. Les personnes ont le droit de transférer leurs données personnelles sur demande.

  6. Le droit de s'opposer. Les entreprises doivent obtenir explicitement le consentement des individus et offrir la possibilité de retirer ce consentement, tout en suivant ce consentement dans un emplacement centralisé. Les individus ont également le droit de contester les décisions prises par des algorithmes automatisés.

Même avec des avantages aussi importants pour le contrôle individuel de leurs données et de la manière dont elles sont utilisées, l'initiative a également eu des conséquences imprévues.

...Avec de nombreuses conséquences imprévues

Il y a eu des conséquences imprévues importantes de la RDA ; à savoir, comment les réalités de la conformité se sont répercutées sur l'économie des affaires en Europe et ont renforcé davantage le pouvoir des Big Tech :

  1. Big Tech est le plus grand bénéficiaire.

    1. Les marques disposant des trackers de données les plus utilisés ont gagné des parts de marché grâce au RGPD. Au fur et à mesure que les petites entreprises se sont adaptées à la nouvelle loi, elles ont perdu au profit de celles qui avaient le plus de ressources. Une étude de Ghostery a montré une baisse de 20 % de la portée du site Web pour les 50 principaux fournisseurs de technologies publicitaires, sans Google ni Facebook. GDPR semble avoir mis plus de pouvoir entre les mains de ceux qui dominent déjà.

  1. La complexité engendre la confusion - et une aubaine pour les avocats.

    1. La loi elle-même est beaucoup trop compliquée pour les particuliers et les entreprises. Étant donné que de nombreuses entreprises consacrent au moins 40 % de leur budget de conformité aux conseils juridiques, les avocats sont vraiment les seuls à bénéficier d'une victoire globale.

  2. Réduction de la compétitivité européenne -- et moins d'emplois.

    1. La loi de la complexité a eu un impact considérable sur les startups de la région, une étude ayant révélé "une diminution de 3,38 millions de dollars du total des dollars levés par les entreprises de l'UE par État et par catégorie de l'industrie du pétrole brut par semaine, une réduction de 17,6 % du nombre d'accords d'entreprise hebdomadaires , et une diminution de 39,6 % du montant levé dans le cadre d'une transaction moyenne suite au déploiement du RGPD. » La perte de cet investissement a entraîné quelque part entre 3 604 et 29 819 emplois en Europe.

  3. Nouveaux risques de fusion.

    1. Comme en témoigne l'amende record de Marriott liée aux pratiques de Starwood, les hôtels qui acquièrent d'autres hôtels assument tous les risques liés à la RDA. En tant que telles, les transactions s'effondrent, 55 % des personnes interrogées par Merrill Corp déclarant avoir travaillé sur des transactions qui se sont effondrées en raison de préoccupations concernant les politiques de protection des données d'une entreprise cible et la conformité au RGPD.

  4. Coût de mise en conformité pour les hôtels.

    1. L'industrie hôtelière est particulièrement touchée par le RGPD, car les hôtels, même dans les endroits les plus éloignés, doivent tenir compte de la conformité. Le coût de la rétention des conseils et de la mise en ?uvre des systèmes est élevé. La conformité au RGPD nécessite une collaboration entre les fournisseurs et les employés en matière d'informatique, de cybersécurité, d'investigation numérique et de conception de systèmes. Avec tant de choses à faire, les plus grandes marques ont un avantage majeur car elles peuvent utiliser leurs économies d'échelle pour réduire le coût global de mise en ?uvre.

Malgré ces conséquences imprévues, le RGPD reste un enjeu majeur pour les hôtels. En équilibrant les exigences de conformité avec une approche stratégique, les hôtels de toutes tailles peuvent construire un cadre abordable et efficace.

Lorsque vous vous tournez vers le RGPD, gardez à l'esprit que les hôtels sont responsables de la manière dont les fournisseurs collectent et interagissent avec les données. Chaque point de contact doit être conforme ou vous risquez des amendes. Vous devez donc vérifier que vos fournisseurs sont informés et proactifs sur le RGPD pour les hôtels. Sinon, quelle que soit la préparation que vous faites de votre côté, vous laisserez votre hôtel ouvert aux vulnérabilités ? et aux conséquences financières et de relations publiques d'une non-conformité et d'une violation de données.