Menu
S'identifier
Institutions

Les données personnelles de vos clients devront être mieux protégées en 2018


Publié le : 27.10.2017 I Dernière Mise à jour : 27.10.2017
Image
La nouvelle législation entrera en vigueur fin mai 2018. I Crédit photo ©DR

Les règles en matière d'utilisation des données personnelles d’un résident européen vont changer en 2018. Les professionnels du tourisme vont devoir s'adapter.

L’Union européenne va davantage protéger les données personnelles de ses consommateurs. A compter du 25 mai prochain, les nouvelles dispositions européennes en matière de protection des données ou GDPR (General Data Protection Regulation) entreront en vigueur dans les 28 Etats membres de l’UE.

Dans le tourisme, tout le monde est concerné, aussi bien les OTAs, les plates-formes de location type Airbnb que les chaînes hôtelières (souvent victimes de piratage) ainsi que les TO, les réseaux de distribution et même la petite agence de quartier, qui reste une proie facile pour les cybercriminels.

Contacté par Tour Hebdo, l’ECTAA, organisme regroupant les associations européennes d’agences de voyages et de tour-opérateurs installé à Bruxelles, confirme que les changements requis par le GDPR impliquent une réorganisation de fond concernant l’acquisition et le traitement des données. "Chaque agent doit mettre en place une nouvelle politique et de nouvelles procédures en termes de traitement des données personnelles. Cela aura des conséquences en termes de coûts mais aussi en termes de ressources humaines", prévient Ewa Grabiak Zach, conseiller juridique à l’ECTAA.

Ce qui va changer, en sept points :

1. Toute entreprise opérant en Europe est concernée : Le GDPR s’appliquera à toutes les entreprises (et donc les voyagistes, distributeurs et agences de voyages, physiques ou en ligne) de l’UE mais aussi à celles établies en dehors de l’Union et qui traitent des données relatives à des activités réalisées en Europe. Les sociétés non-européennes qui ciblent des résidents de l’UE en leur proposant des services, des produits ou à des fins de profiling sont également soumises au GDPR.

2. Ne pas récupérer trop de données : Les entreprises devront s’engager à limiter la quantité des données collectées dès l’élaboration d’un nouveau produit ou service. Un programme de certification a été mis en place par les autorités.

3. Signaler obligatoirement un piratage : Les entreprises détenant des données à caractère personnel (nom, photo, adresse, post sur les réseaux sociaux, copie de passeport etc…) ou des données dites "sensibles" (numéro de sécurité sociale, données médicales ou bancaires) auront l’obligation d’informer leur autorité de contrôle nationale de tout piratage important dans les 72 heures après en avoir pris connaissance. En France, il s'agit de la CNIL.

4. Le consommateur doit donner son consentement : Un accord explicite des personnes est obligatoire en cas de traitement de données dites sensibles, en cas de transfert des données en dehors de l’UE ou en cas d’utilisation des données à des fins marketing ou de profiling. La preuve d’un consentement incombe à l’entreprise. Les cases pré-cochées sur un contrat ou un site seront désormais interdites.  

5. Le consommateur a droit à l’oubli et à la portabilité de ses données : Un client qui ne voudra plus faire partie du fichier d’une agence de voyages, par exemple, pourra demander à récupérer ses données sous une forme réutilisable, ou demander à ce qu’elles soient effacées de tous les systèmes. Il pourra aussi les faire transférer à un tiers (ses habitudes de voyages, un programme de fidélité etc…) en invoquant son droit à la portabilité.  

6. Toute entreprise non confirme sera sanctionnée : En cas d’infraction du règlement ou de manquement à l’obligation de notification après une fuite de données, les autorités pourront prononcer un avertissement, suspendre les flux de données temporairement ou définitivement, ordonner la rectification, la limitation voire l’effacement de celles-ci. Les entreprises risqueront une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du CA annuel global.

7. Une personne dédiée à la protection des données en interne : Les entreprises traitant des données sensibles devront recruter ou nommer un délégué à la protection des données (DPD). Celui-ci aura une mission de contrôle, de conseil, d’information auprès du personnel, des clients et servira aussi d’interlocuteur auprès des autorités de contrôle national. Il rapportera directement au PDG.

Sarah Douag

Div qui contient le message d'alerte

Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire

Mot de passe oublié

Déjà abonné ? Créez vos identifiants

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ? Remplissez les informations et un courriel vous sera envoyé.

Div qui contient le message d'alerte

Envoyer l'article par mail

Mauvais format Mauvais format

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format

Div qui contient le message d'alerte

Contacter la rédaction

Mauvais format Texte obligatoire

Nombre de caractères restant à saisir :

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format