Vous ne pouvez collecter des données personnelles qu’à des fins spécifiques précises et claires.

Concrètement dans les CHR :

Dans l’hôtellerie, ces finalités vont concerner : l’acquisition de prospects, la réservation et le déroulement d’un séjour, la personnalisation de l’expérience client, sa satisfaction, sa sécurité, l’obligation de la fiche de police, l’analyse marketing et commerciale….

Concernant plus particulièrement les salariés, vous collectez des données personnelles pour effectuer une formalité, être en mesure de payer le salaire mensuel, pour l’inscrire en formation…..

On ne collecte pas des données pour collecter des données, au cas où…mais pour une raison bien précise.

Et en fonction de la finalité recherchée par le traitement, vous devez, sauf exception, être en mesure de prouver que vous avez obtenu l’accord non équivoque de la personne concernée.

Vous ne pouvez traiter que les données dont vous avez besoin pour atteindre votre objectif initial, la finalité recherchée, ni plus ni moins.

Concrètement dans les CHR :

Prenez du recul et faites un point sur l’ensemble des informations personnelles que vous collectez sur vos clients ou vos salariés.

Pourquoi demander à vos clients leur date de naissance, de mariage, si cela ne vous sert à rien…. ?

Pourquoi leur demander s’ils ont des préférences alimentaires, des allergies si vous ne vous servez pas de ces informations au moment de son séjour ?

Pourquoi demander au candidat lors d’un recrutement la profession de ses parents ou de sa femme, pourquoi lui demander à ce moment-là sa situation maritale, s’il a des enfants ou non ?

Vous devez collecter des données personnelles de manière loyale et transparente vis-à-vis de la personne concernée.

Concrètement dans les CHR :

Lorsque par exemple vous affirmez à votre client que les informations collectées servent uniquement à l’administration de son séjour dans votre établissement, cela veut dire que vous ne les exploitez pas indirectement à des fins commerciales, pas pour améliorer son expérience client, pas pour transmettre ses coordonnées à l’un de vos partenaires, pas pour qu’il reçoive des incitations publicitaires géolocalisées….

Je dis ce que je fais et je fais ce que je dis.

Et ce que vous dites aujourd’hui sur le traitement des données que vous collectez devra être valable demain. Vous devez vous assurer que les données ne seront pas traitées ultérieurement d’une manière incompatible avec les finalités exposées précédemment.

Vous ne pouvez conserver les données collectées, (exactes ou mises à jour), que pendant une durée qui n’excède pas celle nécessaire à la réalisation de la finalité recherchée.
Concrètement dans les CHR :

Il vous revient d’effacer les données à caractère personnel que vous détenez sur vos salariés, vos clients des que ces informations ne vous sont plus nécessaires.

Vous êtes le seul juge de cette appréciation. Pour vous aider à fixer une durée, il est utile de se caler sur les délais de prescription qui peuvent déjà exister :

.5 ans pour les fiches de paie

.3 ans à compter de la fin de la relation commerciale pour les informations liées à la réservation

.10 ans pour un contrat commercial s’il est conclu par voie électronique

.5 ans pour les données de facturation

.13 mois pour les cookies/mesures de statistiques d’audience

Vous devez adopter des moyens techniques ou prendre des mesures liées à votre organisation qui garantissent que les données que vous traitez sont sécurisées, intègres et confidentielles.
Concrètement dans les CHR :

Si le personnel de réception doit avoir légitimement accès à l’ensemble des informations liées à la réservation et à la facturation, vous devrez veillez à ce que le personnel d’étages n’ait accès qu’aux seules informations techniques dont il a besoin (cardex….) et pas forcément aux données financières du client et à la facturation………

A vous de prendre les mesures techniques pour :

.qu’il soit impossible qu’un salarié fasse anonymement et sans votre permission une extraction des données de votre PMS, du fichier client du CRM, que personne ne puisse divulguer, transmettre, revendre des informations à la concurrence ou à un tiers mal attentionné

.identifier et tracer qui a eu accès à certaines informations, qui a activé ou désactivé un badge, donné ou pas une autorisation, un accès à telle ou telle personne

.crypter par exemple les informations liées aux virements de salaire…..

Sans devenir paranoïaque, votre responsabilité d’exploitant est d’y réfléchir, de faire ce doit l’être pour la sécurité des données de tous et que celles-ci soient protégées, à l’abri de toute destruction, perte ou vol.

Vous devez être capable de démontrer et de prouver en cas de litige ce que vous avez pu mettre en œuvre concernant le RGPD, le respect de ses obligations, de ses principes.

Concrètement dans les CHR :

Il pèse sur vos épaules de professionnel(le) CHR une véritable obligation de résultat, et non pas de moyens. La notion de traçabilité est importante. Vous êtes libre de vous organiser à peu près comme bon vous semble mais charge à vous de garantir l’efficacité des mesures prises.

Cette responsabilité pèse sur vous mais aussi sur les sous-traitants prestataires avec lesquelles vous avez décidé de travailler: cabinet comptable, prestataire informatique, CRM, PMS, centrale de réservation, channel manager, solution emailing marketing….

Vous êtes la première personne à laquelle des comptes vont pouvoir être demandés. Il vous revient de garantir que vous et vos prestataires respectez bien le cadre.

Prenez maintenant du recul pour analyser si vos différents traitements respectent les principes mis en avant par le RGPD. Si ce n’est pas le cas, il conviendra d’ajuster vous-même directement (et/ou par l’intermédiaire de vos outils ou prestataires) ce qui doit l’être sur vos supports papiers ou digitaux (formulaires, contrats…)

Lors du prochain article, je reviendrai spécifiquement sur les outils que vous utilisez au quotidien (site internet, PMS, CRM, newsletter, mailing marketing…). Vous saurez alors si vous les utilisez dans des conditions conformes aux obligations du RGPD et aux droits des personnes concernées.