SpeedMedia lance cette semaine un coup de gueule contre les arnaques liées au RGPD. L’occasion de revenir sur ce que disent les législations européenne et française en la matière.
« De plus en plus d’agences, quelle que soit leur taille, se font approcher par des "vautours et autres cabinets de consultants spécialisés". » Laurent Briquet, directeur général de SpeedMedia est en colère. Dans un communiqué diffusé cette semaine, il lance un coup de gueule contre les arnaques qui fleurissent, selon lui, depuis l’entrée en vigueur du Règlement générale pour la protection des données (RGPD) en mai 2018.
Cette nouvelle réglementation européenne prévoit en effet un meilleur encadrement de l’usage des données personnelles (nom, prénom, adresse, numéro de portable…) des citoyens européens par les entreprises. Alors que les agences de voyages, comme tout opérateur du tourisme, sont désormais soumises au RGPD, certaines se feraient arnaquer au motif de leur mise en conformité.
« Des vendeurs de conseils utilis[ent] les très innombrables pistes et possibilités de soi-disantes failles existant sur les sites internet des agences de voyages », affirme le communiqué de Speed Media. « En seulement 72h, nous avons reçu pas moins d’une dizaine d’appels d’agences terrorisées par ces pratiques et pour certaines d’entre elles, les fameux "consultants" les auraient même menacées de faire fermer purement et simplement leur site Web. »
L’éditeur de logiciels spécialisés dans la vente en ligne de voyages ajoute : « La base est de bien de protéger les données personnelles de vos clients mais aussi de vos collaborateurs en respectant les consignes de cette directive européenne qui, rappelons-le, reprend 90% qui avaient déjà lieu et qui pour la plupart relèvent surtout du bon sens. »
Un registre unique
La réalité est un peu plus complexe que cela. La mise en conformité vis-à-vis du RGPD comprend d’abord un audit des pratiques actuelles : comment sont traitées les données personnelles récoltées auprès de vos clients ? Chaque entreprise doit être en mesure de cartographier l’ensemble des procédures par lesquelles ces données sensibles transitent (édition des fiches de paie pour les collaborateurs, collecte d’e-mails et de l’identité pour une newsletter pour les clients, par exemple).
Pour vos newsletters par exemple, un lien pour pouvoir se désabonner et le droit à l’accès, la modification et la suppression de ses données est obligatoire. Et pas question d’échanger le consentement contre une participation à un concours : l’inscription à la newsletter ne doit pas être automatique et tout recueil des données personnelles doit s’effectuer avec le consentement des individus.
L’ensemble de ces traitements de données doivent être répertoriés dans un registre unique, que la Commission nationale pour l’informatique et des libertés (Cnil) est susceptible de consulter. Le RGPD exige également la nomination d’un responsable des données personnelles, chargé notamment de cet audit des pratiques de l’entreprise mais aussi du suivi de ce dossier. « Ce véritable chef d’orchestre exercera une mission d’information, de conseil et de contrôle en interne », souligne la Cnil.
Enfin, toute violation importante des données est à déclarer sous 72h auprès de la Cnil (une interception de ces données par un tiers non autorisé, par exemple). Tout manquement au RGPD entraîne un risque de punition. Et la facture peut être salée : si une entreprise n’est pas en mesure de fournir le registre de procédures de traitements des données, elle s’expose à une amende pouvant s’élever de 10 à 20 millions, voire atteindre 4% de son chiffre d’affaires annuel.