La protection des données à caractère personnel en France appliquée aux hôteliers-restaurateurs

Sarra Jougla-Ygouf & Christopher Boinet - avocats au Bareau de Paris, asssociés - In Extenso, le 22 juin 2018
Publié le 22 juin 2018

LA PROTECTION DES DONNEES A CARACTERE PERSONNEL EN FRANCE APPLIQUEE AUX HOTELIERS-RESTAURATEURS

IL N’EST PAS TROP TARD, MEME APRES LE 25 MAI 2018

 

illustration d'article - clavier informatique et terme safe
crédits : Pixabay.com

 

La France vient d’adopter la loi « informatique et libertés » N°78-17, modifiée, intégrant les nouvelles dispositions issues du RGPD.

Rapide rappel : le RGPD est le « règlement européen sur la protection et la libre circulation des données à caractère personnel » n°2016/679 du Parlement européen et du Conseil, voté le 27 avril 2016, qui est entré en application dans tous les états membres de l’UE le 25 mai 2018.

La CNIL a d’ores et déjà indiqué qu’elle tiendrait compte des « démarches engagées » par les entreprises dans leur processus de mise en conformité et qu’il n’y aurait pas de sanctions avant la fin de l’année 2018 concernant les dispositions directement issues du règlement – ce qui n’exclut pas le prononcé de sanctions en cas de manquement aux dispositions déjà en vigueur de la Loi Informatique et Libertés qui n’étaient pas, loin s’en faut, respectées partout…

Il n’est donc évidemment pas trop tard pour se pencher sur la mise en place de ce règlement à sa propre entreprise.

Car il y a plusieurs manières d’envisager la mise en place du RGPD pour les hôtels et les restaurants

Elle peut être vue comme une énième contrainte administrative ou bien, comme une nécessité et une opportunité.

Il convient de ne pas oublier que dans l’intitulé même du règlement, il est question de la protection des données à caractère personnel, mais également de leur libre circulation.

Par conséquent, ce règlement a non seulement pour but de protéger les données à caractère personnel des entreprises, mais aussi celles de leurs clients, prospects ou salariés, mais aussi de permettre leur libre circulation.

Cette circulation doit juste être encadrée et régulée, afin d’éviter les abus, dérapages ou accidents, auxquels nous assistons depuis plusieurs années au sujet du traitement de ces données (Google, Facebook, mais aussi DARTY, HERTZ, Direct énergie et tant d’autres)[i]

Le secteur hôtelier et de la restauration est concerné au 1er chef.

Le règlement a prévu des seuils qui permettent de prendre en considération la situation des TPE, PME, ETI et également de tenir compte de l’activité de ces entreprises.

Tous les exploitants hôteliers et restaurateurs ne seront pas forcément visés, mais s’ils stockent et conservent les données de leurs clients – avec éventuellement leurs préférences – de manière systématique, pour pouvoir par exemple leur adresser des offres promotionnelles ou mieux les satisfaire à leur prochain passage, ils seront directement concernés.

Si les hôteliers et les restaurateurs ont un site sur lequel le client peut enregistrer une réservation, ils sont directement visés par le règlement.

La question de l’usage des plateformes de réservations (LA FOURCHETTE, BOOKING.COM…) et de leur conformité se pose évidemment, ainsi que celle de l’utilisation et de la conservation des fiches de Police ou fiches CARDEX.

De même, le traitement des différents moyens de paiement et de leurs usages et conservation, doit être examiné avec attention.

Si les hôteliers et les restaurateurs disposent d’un système de vidéo surveillance, ils doivent également s’interroger sur leurs pratiques, tant pour ce qui relève du respect de la vie privée des clients, que de celle de leurs salariés.

Quelles dispositions peuvent prendre les hôteliers – et dans une moindre mesure les restaurateurs - pour anticiper sereinement ces obligations réglementaires après le 25 mai 2018 ?

Les objectifs du Règlement général sur la protection des données (RGPD) visent, outre la mise en place d’un cadre juridique unifié au niveau européen, :

  1. un renforcement des droits des personnes, déjà amorcé par plusieurs décisions comme l’arrêt GOOGLE SPAIN, consacrant le droit à l’oubli ; ou la condamnation récente, prononçant une sanction pécuniaire suite à une faille de sécurité dans la confidentialité de son fichier de cartes de fidélité clients[ii]
  2. une conformité basée sur la transparence et la responsabilisation ;
  3. des responsabilités partagées et précisées (le sous-traitant devient responsable comme le donneur d’ordre) ;
  4. l’encadrement strict des transferts de données hors de l’Union Européenne ;
  5. des sanctions encadrées, graduées et renforcées.

En quoi les hôteliers et restaurateurs doivent- ils se sentir particulièrement concernés ? Ils vont passer d’un régime déclaratif avec sanction a posteriori, à un nouveau régime d’anticipation et de responsabilisation. Les conséquences sont multiples comme on va le voir ci-après.

Ce changement de modèle se traduit d'un côté par un allégement des obligations déclaratives, mais aussi par un renforcement, voire la création, de certaines obligations pour tous les hôteliers et restaurateurs et les entreprises en général, qui traitent les données personnelles de leurs clients.

Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information, la transparence, la sécurité et la documentation :

LES HOTELIERS ET LES RESTAURATEURS DOIVENT ANTICIPER : Ils devront en effet pouvoir justifier en cas de plainte, de faille de sécurité, ou de contrôle de la CNIL, de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée. Ce principe nécessite de s’interroger sur la licéité du traitement, de faire des études d’impact préalables, lorsqu’elles sont nécessaires, éventuellement de recueillir le consentement de la personne physique dont la donnée a été récoltée, de l’informer de ses droits…

ILS SONT TENUS A UNE OBLIGATION D’INFORMER : Une obligation de transparence va désormais s’imposer aux hôteliers et restaurateurs qui gèrent, stockent, hébergent, traitent, vendent, etc… des données à caractère personnel.

Prenons l’exemple des clients des hôteliers et restaurateurs, qui sont des personnes physiques, dont les données sont récoltées. Il faudra informer leurs clients de la finalité du traitement, de leur droit d’accès, de rectification, droit à l’effacement et à la portabilité, des durées de conservation.

ILS SONT TENUS A UNE OBLIGATION DE SECURITE : Ils doivent être mis en œuvre pour sécuriser les données détenues par l’entreprise, selon le principe de « Security by default ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée. Toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement).

Les sanctions en cas de manquement à ces obligations seront renforcées (jusqu’à 4% du CA mondial et 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction.

ILS SONT ENFIN TENUS A UNE OBLIGATION DE DOCUMENTER : dans certains cas, la tenue d’un « registre des traitements » est obligatoire».

Les hôteliers et les restaurateurs sont directement visés par le RGPD, si :

  • ils emploient 250 salariés ou plus ;
  • et/ou s’ils traitent des données à caractère personnel en masse ou de manière systématique ;
  • et/ou si ces traitements portent sur des données sensibles et/ou sont susceptibles de porter atteinte aux droits et libertés individuels.

Chacun de ces critères devant être apprécié séparément.

Dans ces cas, les hôteliers et les restaurateurs auront une obligation de tenue d’un REGISTRE DES TRAITEMENTS.

Le secteur de l’hôtellerie est et de la restauration est concerné au 1er chef : l’organisation et les systèmes d’information, mais également la gestion RH, le management, la gestion commerciale (prospection, marketing, gestion des fichiers clients,…), la gestion des fournisseurs, et bien entendu la gestion informatique des entreprises hôtelières et de restauration.

Le secteur de l’hôtellerie et de la restauration est visé, que les données soient conservées dans le serveur informatique de l’entreprise et/ou stockées et/ou hébergées et/ou retraitées par un sous-traitant.

Les fichiers clients d’hôtels et des restaurants ne peuvent désormais plus conserver n’importe quelles données et doivent respecter certaines conditions.

Ces données personnelles, que certains considèrent déjà comme étant le nouvel « or noir », peuvent être convoitées par des concurrents malveillants, mais également par des « hackers » pour de la revente ou pour une rançon (ransomware du type Wannacry, par exemple).

À l’heure où les « cyber-attaques » se multiplient, le secteur de l’hôtellerie et de la restauration doit assurer la protection des données personnelles de ses clients, comme celles de ses salariés (qui sont également concernés par la nouvelle règlementation).

Nul doute également que l’ « e-réputation » des hôteliers et des restaurateurs sera également valorisée, au regard de sa conformité ou non avec cette règlementation.

Concrètement, un audit est nécessaire pour établir un diagnostic de l’activité et des pratiques et une évaluation des risques.

A partir de cet audit, un plan d’action sera mis en place pour construire éventuellement un « registre des traitements » qui va regrouper et décrire les pratiques de l’entreprise en matière de traitement de données à caractère personnel , ou, si la constitution du registre n’est pas impérative, mettre en œuvre des actions minimales de mise en conformité avec la législation.

Cela nécessite l’intervention d’une structure de conseil pluridisciplinaire technique et juridique, bien rodée et spécialisée dans le secteur d’activités des hôtels-restaurants, afin de permettre que ce type d’intervention soit traité correctement et au meilleur coût.

Il n’est bien entendu jamais trop tard pour se mettre en conformité.

 

Sarra Jougla-Ygouf - Avocat au Barreau de Paris – Associé

sarra.jougla-ygouf@inextenso-avocats.fr

Christopher Boinet - Avocat au Barreau de Paris – Associé

christopher.boinet@inextenso-avocats.fr

 

 

[i] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales,

CNIL Délibération n°SAN – 2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS

CNIL Délibération n°SAN-2017-010 du 18 juillet 2017- HERTZ

CNIL Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE et Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-082 du 22 mars 2018 décidant de rendre publique la mise en demeure prise à l’encontre de la société DIRECT ENERGIE

[ii] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain précitée

CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 DARTY ET FILS précitée