Et le RGPD on en est où à l’Hotel ?

Temps de lecture: 6 minutes

La saison estivale est une grosse période de travail, mais aussi une période où les hôteliers créent une masse considérables de données. Noms, prénoms, adresses postales, adresses mails, carte de crédit, ages dates de naissances. bref c’est très important en masse d’informations que l’on traite dès la réservation.

Toutes ces informations sont soumise à la loi sur le RGPD et, on ne compte plus les hôteliers qui ne savent pas quoi faire, et comment faire. On va donc refaire un point en citant un de nos précédents articles sur le sujet.

On va se faire gagner un temps fou. Ici pas de définitions de la loi avec les passages du texte. De toute manière c’est illisible en l’état, et c’est trop long pour être décrit ici.

On va voir par contre les cas pratiques qui intéressent mes collègues de l’hôtellerie et de l’hébergement touristique et d’affaires.

Ça me concerne ?

Oui, avec plus ou moins de détails cela concerne tout le monde. Tout va dépendre de votre « taille » et de votre utilisation des données que vous possédez sur vos clients. Mais bon, on va partir du principe qu’il vaut mieux bien faire dès le départ, des fois que la loi évolue en se durcissant.

Cas 1

Je suis un Hôtel, je fais des fiches de réservations avec les adresses et les noms de mes clients. Je reçois des résa depuis un OTA type Booking et je conserve les fiches clients qui sont déjà venues. Mais rien de plus. Je fais quoi moi ? (Question de notre amie Marie Jeanne depuis ses montagnes) :

Alors vous ne faites pas grand-chose dans l’idée. Vous êtes tenu d’avertir vos clients si vous utilisez ses données personnelles à des fins commerciales, mais aussi dans le cas où vous conservez ces données.

SI votre site en direct est bien fait (une vérif auprès de votre webmaster), il doit indiquer dans les mentions légales le contact de la personne en charge des données chez vous. Le but de cela, laisser le « choix » à votre client, de rectifier, de modifier, ou de demander un effacement de ces données à tout moment. De votre côté vous devez impérativement offrir une « protection » de ces données. Ce qui veut dire que vous ne devez pas laisser cela dans un classeur à la vue de tout le monde, car le client n’a pas donné son accord pour que vous divulguiez ces informations perso. Donc si vos données sont strictement réservées à être conservés, vous avez peu d’obligations si ce n’est les obligations « logiques ».

On ne vend pas, on ne cède pas, on n’échange pas les données sans l’accord du client.

On ne fait pas une newsletter du jour au lendemain avec ses adresses clients, s’ils ne sont pas d’accord.

On ne fait pas une campagne de phoning sur leurs numéros de téléphone s’ils n’ont pas donné leurs accords.

Bref, il faut leur accord. Basique simple, mais pourtant pas toujours saisi.

On doit assurer une protection des données de ses clients.

On doit permettre au client de modifier ou effacer ses données chez vous.

Et on doit pouvoir dire comment l’on a eu les données du client. (Ce point-ci c’est le plus drôle)

 

 

Le client me demande des choses que je ne comprends pas.

Oui, désormais avec le RGPD, le client est dans le droit de demander des réponses bien plus précises qu’auparavant. Je reproduis ici un exemple véridique, d’un mail qu’un collègue a reçu. Accrochez vous ça décoiffe.

Bonjour,

En application de mon droit d’accès et d’informations sur les traitements de données personnelles me concernant, je souhaite obtenir de votre part la confirmation que vous n’avez pas dans vos bases de données ou celle de vos sous-traitants d’informations liées à mon email. Ma démarche fait suite à la réception de spam alors que l’usage de cette adresse email est extrêmement limité ; ainsi je souhaite que la procédure de recherche se limite à mon email et aux données que vous ou vos sous-traitants pourraient avoir associées.

Je ne souhaite pas accéder aux données de compte ni à des données liées à une identité physique. Ainsi je vous demande de procéder aux contrôles sur la base de ma propriété de cet email sans autre procédure de contrôles qui seraient excessifs au regard de ma demande.

Dans l’éventualité où des données me concernant seraient détectées… je vous demande de me préciser la source d’obtention de ces données et les traitements et partagent associés.

Dans l’attente de votre retour,

M***, un citoyen engagé.

 

Je tiens à préciser que cet e mail est authentique. Voici la copie d’écran du mail original.

Donc, je laisse deux trois minutes à nos lecteurs pour s’essuyer le front, car, ce genre de clients ça existe. Oui ce ne sont pas que des légendes pour faire peur aux enfants quand on les couche en fin de service.

« SI tu n’es pas sage, sache qu’un jour le grand méchant M.X t’enverra un mail bizarre afin de te mettre dans un état de sueur intense »

Les clients sont dits « éclairés » et certains sont sur du triphasé (cette blague ne fera rire que les personnels techniques de l’hôtel, mais j’assume complètement).

Donc oui, vous devez pouvoir renseigner votre client sur pourquoi, et comment vous utilisez ses données

On vous conseille donc de tenir un process à jour pour pouvoir répondre rapidement et ne pas mouiller de trop votre chemise.

DPO ?

Le fait est que pour les Hôteliers les plus soucieux de faire correctement, la présence d’un DPO peut s’avérer utile. Le DPO c’est un peu le directeur de la protection donnée. Il est déclaré à la CNIL. Ce peut être un employé de l’hôtel qui soit bien formé, comme vous-même, ou un DPO extérieur. Son rôle c’est d’établir avec vous un processus clair concernant la protection et l’utilisation des données que vous possédez. Il certifie que votre process est bien conforme. C’est généralement les grosses chaines d’hôtels et les très grosses sociétés qui font appel à des DPO extérieurs, car beaucoup de données sont dites sensibles dans ce cas. Après rien ne vous empêche de faire appel à un DPO extérieur, il en existe des très abordables pour les petites structures. Et ça permet de faire un petit point sur votre utilisation donnée en même temps.

Cas 2

Je prends cette question depuis un groupe Facebook (Hotel Paris Netwok), et elle était posée de manière générale à l’ensemble du groupe. Je reproduis donc cette question telle quelle. Elle est assez intéressante, car elle pose un problème de taille pour bon nombre d’entre nous.

Je cite :

Bonjour à tous,

J’ai une petite question concernant le RGPD, qu’est ce que vous avez fait comme changement dans votre communication de newsletter auprès de vos clients ?

Merci de votre aide,
Bonne journée

Donc la question sous-jacente est : comment faire quand on a une newsletter et que l’on fait de la relance commerciale par mail et/ou téléphone ?

Depuis le passage de la loi RGPD, cela pose un souci. Tous les clients qui reçoivent votre newsletter le font parce qu’ils sont d’accord avec cela. Dans l’idée c’est là que ça pose deux cas.

Le avant RGPD et le après.

Si votre base d’adresses clients est antérieure au passage de la loi, vous êtes simplement obligé de préciser sur votre mailing la possibilité de se désabonner clairement. Mais c’est une obligation sur tous les mailings. Toujours cette notion de choix de la part du client.

Pour ceux qui s’inscrivent après le passage de la loi c’est plus choucard. Disons que vous prenez le mail de votre client pour sa réservation par le biais de son formulaire qu’il remplit sur votre site. Il faut alors exprimer « clairement » au moment de son inscription, que vous allez utiliser son adresse pour faire un mailing avec. Il faut aussi qu’il donne son accord (en cochant une case d’accord par exemple. Mais si vous en avez déjà vu des tas)

Un exemple d’accord

et que vous lui fournissiez la possibilité de revenir sur son choix à tout moment. Impossible de se dire « ben tiens, il a fait sa resa, donc c’est comme si il était d’accord pour que je lui fasse un mail de promo. C’est mon client à moi tout seul naaa ».

Non ce n’est pas aussi simple.

Le client n’est pas une propriété, et les données qu’il vous confie ne vous appartiennent pas. En substance c’est cela que la loi dit. Vous êtes le garant des données que l’on vous confie, et non le propriétaire. Du coup, vous devez obligatoirement revoir vos formulaires en ligne si vous souhaitez vous servir des données de votre client.

De la même manière si vous souhaitez partager ces données avec des partenaires commerciaux, vous devez le préciser « Clairement » et obtenir le consentement de votre client.

En cas de doutes, il vaut mieux faire appel à un auditeur extérieur, et à un DPO, car il est désormais évident que les sanctions existent. Je vous renvoie à notre précédent article qui estimait le nombre de plaintes suite au RGPD (voir article ici).

Bonus track

SI vous utilisez une société de mailing type Mail chimp ou mail jet, vous devez faire attention au fait que ces sociétés stockent des données et que celles-ci sont souvent basées à l’étranger. Donc c’est un point qu’il faudra que vous preniez en compte dans l’établissement de votre procédure de mise en conformité RGPD.

Conservation des données

Vous devez stipuler un temps de conservation des données clients. Si vous n’avez aucun autre contact avec votre client par un quelconque biais, vous devez effacer ces données un an jour pour jour après le dernier contact avec lui. Et vous devez l’en avertir (ben par mail par exemple, je sais c’est débile, mais c’est la loi et personne n’a jamais dit que la loi était intelligente). Vous pouvez d’ailleurs par ce biais lui demander de vous répondre s’il veut toujours vous laisser ses données en garde chez vous (oui c’est encore une fois assez débile, mais c’est comme ça. On ne discute pas, et on vénère le législateur qui ne veut que votre bien, non, mais !!!…). Le RGPD c’est un peu une garde alternée, sauf que ce n’est pas vos gamins une semaine sur deux. Beaucoup d’obligation et pas beaucoup de possibilités si vous ne demandez pas la permission avant.

Donc même dans le cas n° 1, vous allez être obligé de tenir votre fichier client avec une certaine rigueur et des indicateurs clairs (date de passage du client et date d’effacement des données programmé). Le seul cas où vous pourriez échapper à ce travail de fourmi serait la non-conservation pure et simple des données client. Le client s’en va de l’hôtel et zou, vous foutez tout au feu. En dehors de ce cas, ben il va falloir que vous vous posiez deux secondes sur le problème.

Apporter des preuves.

En cas de contrôle (ce que nous ne souhaitons à personne), il faudra apporter des preuves physiques de votre gestion. Ce que vous faites comment vous le faite, comment vous traitez les données et comment vous les effacez. Et cela que vous soyez l’hôtel de la gare d’un petit village, ou une grande chaine hôtelière. C’est la même.

Attention tout de même à un point. Ce que je dis ici fonctionne tant pour le monde de l’hôtellerie, que celui de l’hébergement (je pense aux chambres d’hôtes aux gites et autres établissement qui fleurissent un peu partout, et qui pensent que « non professionnel » signifie que l’on est exempt de tout. Eh bien non)

En résumé,

pour mieux comprendre le principe de cette loi, tout est question d’autorisation. Vous devez avoir le consentement de vos clients pour faire certaines choses. Les relances commerciales, le partage, l’utilisation des données d’une manière marketing, c’est soumis à l’accord du client final.

La conservation des données de vos clients est, elle aussi, soumise à la loi. Vous êtes les gardiens de ces données, et vous avez des obligations.

La manière dont vous obtenez ces données sont elles aussi soumises à de la clarté de votre part.

Vous devez être transparent avec vos clients concernant leurs données et je vous invite à vous poser devant une feuille pour déterminer vos besoins et vos actions en matière de données clients avant de faire certains choix, car la CNIL ne compte pas faire de cadeau dans les années à venir.

 

Partagez...

Michel Webmarketing

Michel est le spécialiste Webmarketing. Il conjugue toutes les disciplines acquises durant bientôt 20 ans de terrain, pour mieux servir les intérêts de ses clients. Psychologie cognitive; PNL; Web marketing; SEO; Adwords; Analyse transactionnelle; Scrum; Gestion de la communication... et bien plus encore. Auteur de nombreux ouvrages, conférencier, et animateur d'atelier, Il met son savoir aux services des professionnels exigeants, qu'ils soient débutants ou confirmés.

RSS