Le RGPD, Le DPO, pour l’Hôtellerie Restauration

Temps de lecture: 6 minutes

Le RGPD … ça vous parle?

 

« Pff ! Encore un nouveau truc. C’est quoi cette nouvelle loi ? Encore des obligations ? Et puis c’est quoi cette abréviation ? Bientôt il nous mettrons des hiéroglyphes juste pour qu’on s’y perde.

Je suppose qu’on va avoir droit à des échéances et des amendes en prime, non?

Là honnêtement, entre deux check-in et une commande au resto, pas le temps on verra plus tard! »

Voilà la réaction de Brigitte hôtelière, 20 ans de métier dans les pattes, et un 10 chambres dans les doigts, qui a à peine levé la tête au dessus de sa réception, quand je lui ai posé la question qui est sur toutes les lèvres : Le RGPD c’est quoi ?

 

Bah oui elle a raison là trop c’est trop ! On ne s’en sort plus alors on priorise. Personne ne va gérer les check in ou la mise en place, pas de temps à perdre avec de la paperasse inutile.

 

« Mais ce qu’il faut comprendre Brigitte c’est que le RGPD c’est une bonne chose pour tous !

Le RGPD s’adresse à tous les citoyens et avant d’être chef d’entreprise vous êtes citoyenne…

 

Le RGPD vous donne des droits en tant que citoyenne  :

 

Ok Brigitte, le mieux c’est que je vous donne des exemples.

Dans la vie courante, vous transmettez des données personnelles à différents organismes :

  • Administration (la mairie lors de l’établissement d’un passeport par exemple)
  • Employeur avec le registre du personnel…
  • Association
  • Société commerciale : BNP, SFR, Facebook, Google, Tripadvisor…
  • Hôtel pour une réservation de chambre : fiche Cardex
  • Restaurant, si si ! la carte de fidelité avec l’adresse le mail, le téléphone, la date de naissance pour envoyer des promos par mails…

Le RGPD vous donne :

 

– Le droit à l’information : Quel que soit la structure qui collecte des données sur vous, elle doit pouvoir vous renseigner sur la finalité de ces données : pour faire de l’emailing ?, ou ces données sont elles destinées à être revendues ?…

 

– Le droit à la rectification, une faute de frappe s’est glissée dans votre contrat Direct énergie et votre nom est inscrit Birgit ou lieu de Brigitte, Direct énergie a l’obligation d’effectuer la rectification.

 

– Le Droit de Portabilité : Peut être avez vous déjà changé de fournisseur de téléphonie mobile et vous avez demandé la portabilité du numéro ? Garder votre numéro en changeant d’opérateur ? Et bien le GPRD vous donne cette possibilité mais pas que. Vous pouvez demander que l’intégralité de votre dossier qui était chez orange migre chez Free. C’est bien ça aussi non ?

 

– Le droit à l’oubli : Vous pouvez demander à être enlevé d’un fichier : par exemple vous êtes client de la pépinière de Rouen et vous déménagez à Biarritz, pas trop d’intérêt de recevoir les promotions de cette pépinière dont vous ne serez plus client. Vous pouvez demander à être retiré du fichier et la pépinière ne dispose que d’un mois pour effectuer les changements.

 

« Bah oui c’est logique ca ! Mais moi, en quoi ça me concerne avec mon hôtel. Je suis pas free, et j’ai pas tout compris.»

 

Et bien si en tant que consommatrice citoyenne cela vous donne des droits, la commerçante que vous êtes va avoir des devoirs de mise en conformité envers ses clients comme la pépinière ou orange.

 

Ok ça vous paraît plus clair ? Non ? Alors de quoi il en retourne exactement ? Toutes les entreprises Européenne, de la chambre d’hôtes familiale au club de vacances en passant par le restaurant du coin de la rue : Oui tout le monde est concerné !

Et oui Brigitte, vous aussi ça vous concerne.

C’est obligatoire et il convient d’identifier les points essentiels, donc on y va ?

 

RGPD : Registre Général de Protection de Données.

Les données de vos employés, de vos fournisseurs, partenaires et clients sont concernées.

Pour chaque acteur il convient de définir :

Comment je Collecte les données ?

  • Données collectées pour la réservation d’une chambre ou d’une table de restaurant
  • Lors de l’embauche d’un salarié
  • Lors de l’inscription du client à la carte de fidélité…

 

Quel est le process de Stockage ? (Comment je garde ça..)

Cela a pour but d’empêcher que les données personnelles soient déformées, endommagées ou que des personnes non autorisées y aient accès.

Il doit aussi fixer une durée de conservation raisonnable en fonction de l’objectif du fichier et Evaluer le Risque…

Evaluer le Risque ?

« Mais c’est bon ! j’ai mon calepin que je range dans mon tiroir sous mon bureau, y’a que moi qui y ai accès ça suffit, non ? »

Hélas non ! Il faut déterminer :

  • Qui a accès aux données ?
  • Où sont-elles stockées ?
  • Par qui sont- elles consultées …
  • ou au contraire depuis combien de temps n’ont-elles pas été consultées ?
  • Comment sont-elles protégées…

Toutes ces informations vont permettre d’évaluer le niveau d’exposition des données et le niveau de risque.

Que se passe-t-il en cas de vol de votre PC ? De tremblement de terre ? Avez vous un firewall ? Etes-vous équipé d’un système e-réputation ? moteur de réservation ? système d’e-mailing/newsletter

 

Quel est le process de traitement ?

  • Qui a accès aux données (par exemple, services internes compétents, prestataire)
  • Durée de conservation des données
  • Comment toutes les personnes dont vous posséder des données peuvent exercer vos droits (via un espace personnel sur internet, une adresse email dédiée, un courrier postal à un service identifié…)
  • Si les données sont transférées hors Union européenne

Il faut savoir définir une politique d’accès :

Répondre aux demandes des personnes physiques sur leurs données personnelles.

« Donc si Monsieur Raoul client de la chambre 12 d’il y a 3 mois me fait une demande d’accès à ses données personnelles, je lui répond quoi ? »

Là est la question Brigitte, le RGPD prévoit la mise en place d’un procédé de réponse au client. Et en plus le temps de réponse doit être rapide (1 mois Maximum).

Et de ce fait tenir un registre des traitements

Mais les données de vos clients ne sont pas les seules données visées par le RGPD :

 

En tant qu’employeur, vous avez des données sur vos salariés : numéro de sécurité sociale, adresse, RIB, maintenant avec l’obligation de la mutuelle d’entreprise vous pouvez avoir accès à des détails sur vos salariés : Une employée a pris l’extension d’assurance pour les dents et les lunettes, vous savez donc que cette pathologie est présente dans sa famille. C’est une information personnelle que vous détenez. Même si vous ne l’avez pas cherché.

Là cela va être encore plus flagrant pour vous si je vous dis « prélèvement à la source », vous allez avoir accès à d’autres informations comme le taux d’imposition, les personnes à charge, et même le revenu du foyer.

Toutes ces données doivent être traitées et classés selon un process distinct car il y a un risque résiduel avec ces données.

Même si c’est votre comptable qui gère ce genre d’informations, vous lui aurez communiqué à la base donc vous devrez tenir une registre de traitement des sous traitants.

Il vous faudra aussi identifier le traitement de vos données à l’étranger.

« Ah moi je ne fais rien à l’étranger ! Sur ça je suis tranquille. » S’exclame Brigitt

Pas de soucis Brigitte je vais vous poser une question : comment sauvegardez vous les données de votre ordinateur ?

Vous utilisez une dropbox ? Un cloud ? Et bien vos données partent bel et bien à l’étranger car Dropbox est en Californie, et le cloud ça dépend, il faut vous renseigner… Il faudra donc identifier le traitement de ces données à l’étranger

Un autre exemple : pour vos mailings, vous utilisez Mailchimp ? Et bien votre base de donnée est en dehors de France car aucun serveur de mail chimp n’est en France.

Sans le savoir nous rentrons très facilement dans les cases du GDPR . C’est une obligation pour tous

 

Classifier et définir un cycle de vie (on ne parle pas du roi lion là… )

Les données sont souvent gérées directement par les employés eux-mêmes.

Comment savoir quels fichiers doivent être conservés ou supprimés

Par exemple martine de la réception n’a pas a savoir le taux d’imposition fiscale de carole femme de chambre

 

« Mais la suppression de ces fichiers prend trop de temps ! Je fais quoi moi ??! J’arrache les pages de mon cahier ?! »

 

Les règles de gestion, de conservation et de rétention doivent être non seulement définies mais aussi appliquées de manière automatisée. Déterminer à partir de quand un client redevient prospect et donc à quel moment je dois supprimer les éléments de sa fiche.

Combien de temps dois je garder les informations relatives à mes salariés après leur départ ?

 

Et ces données, lesquelles sont concernés et comment je les sécurise? Quand ? Où ?

 

La mise en place de ces process donne une certification. Vous êtes responsable de l’application de ce process .

Pour chaque segment vous devez avoir un pocess :

Process Client

Process Prospect

Process Fournisseur,

Process Salarié,

Process sous traitant ( le comptable par exemple)…

 

Un DPO (ou la personne responsable de la conformité du process) pourra être nommé, le plus souvent cette personne est un juriste externe dont c’est le métier. Il vous aidera et vous sécurisera dans vos démarches et traitements.

 

La mise en conformité à la loi RGPD Représente un chantier colossal pour les entreprises Européennes qui se sentent dépassées par l’ampleur du travail.

Les amendes cependant on commencé à être distribuées car la Mise en application de cette loi date de Mai 2018…  jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel.

 

 

« Oui on est en retard, encore en retard, mais là pas le temps, vraiment j’ai un hôtel à faire tourner. Les journées chez moi elles font déjà 26H00 et je manque encore de temps. Ils ont rien trouvé de mieux pour qu’on ne dorme plus. »

 

Brigitte, même si c’est tout votre système de traitement des données qui est à revoir, il existe des solutions qui vous accompagnent dans cette certification. Vous pouvez le faire par vous même, avec les risques que cela imposent, ou, vous pouvez faire appel à des professionnels qui savent comment faire. Pour vous faire couper les cheveux, vous aller chez un coiffeur, pas chez le boucher ? Ben là c’est pareil. On peut se couper les cheveux tout seul, ou demander à son coiffeur. C’est là que je peux vous aider un peu Brigitte.

 

Mais à qui je fais appel?

 

Nous sommes là pour vous , Brigitte, on a testé différentes solutions, et on à trouvé la solution suivante.

 

Dans un réel soucis d’accompagnement, Smart GDPR, partenaire sélectionné comme partenaire privilégié peut vous apporter une réelle aide

En savoir plus

Dans un réel soucis d’accompagnement,nous avons sélectionné Smart GDPR, comme partenaire privilégié.

 

En savoir plus

Avec cette solution Brigitte, il y a deux options qui vous permettent d’être tranquille quoi qu’il se passe.

Avec un DPO dédié qui va s’occuper de vous de A à Z pour tout mettre en place. Ou, sans Le DPO dédié, mais avec tous les éléments nécessaires pour que vous puissiez mettre votre entreprise en conformité rapidement.

 

« Et vous me conseillez quoi vous ? »

 

Vous le dites vous même Brigitte, vous n’avez pas le temps. Les journées sont trop courtes, et vous n’avez pas une vision claire de ce à quoi vous devez réagir. La différence de prix entre la solution sans le DPO et celle avec le DPO, c’est le prix d’un café par jour. Donc je réfléchirai un chtouille ma chère Brigitte. Vous avez un écart de prix qui n’est pas excessif quand on se dit que l’on se met à l’abri des représailles de l’état. Donc ça se discute. Le mieux c’est de faire un point précis sur vos données et vos besoins. Prenons un café, et discutons posément du problème.

Tarif et avantages Smart GDPR *hors frais de paramétrage de base. Tableau comparatif GDPR tarifé avec ou sans DPO par Smart GDPR partenaire Dylog pour l’hôtellerie restauration

Cliquez ici pour voir les offres de notre partenaire.

 

Cliquez ici si vous voulez que l’on fasse un point avec vous, et être recontacté.

 

Allez, Un café et on y voit plus clair!

Partagez...

Annie-Claire Tronquoy

Hôtelière et restauratrice depuis 20 ans, vraie touche à tout, Annie Claire est une passionnée de son métier. De chef de cuisine à Directrice générale, elle a raccroché ses exploitations pour se lancer dans le conseil. Spécialisée en yield management, Trilingue, elle est aussi à l'aise sur une discussion HACCP que sur une étude de cas...

2 pensées sur “Le RGPD, Le DPO, pour l’Hôtellerie Restauration

Commentaires fermés.

RSS