Sélectionner une page

RGPD – DONNÉES TOURISTIQUES À CARACTÈRE PERSONNEL ?

par | Sep 20, 2018 | Offices de Tourisme, Professionnels du tourisme

En tant qu’entreprise ou acteur institutionnel, le traitement de données est devenu indispensable. Que ce soit pour identifier des entreprises touristiques proposant des activités sur un territoire ou pour personnaliser l’expérience de vos clients, nous manipulons chaque jour des milliers de données à protéger. 

Le rendez-vous est pris le 25 mai 2018 pour la mise en application du Règlement Général sur la Protection des Données (RGPD) dans tous les Etats membres de l’Union Européenne. 

 

Suis-je réellement concerné ? 

Le nouveau règlement concerne spécifiquement les données à caractère personnel qui par définition sont celles qui permettent d’identifier, directement ou indirectement une personne physique. 

Prenons l’exemple d’un office du tourisme qui possède un Système d’Information Touristique (SIT) et d’un outil de Gestion de Relation Client (GRC ou  CRM). On peut sans trop de risque avancer qu’il est concerné par le RGPD.

En effet le SIT contient des données relatives à des entreprises (personnes morales non concernées par le règlement) mais également des données relatives aux représentants de celles-ci : des personnes physiques.

L’outil de GRC lui, va recenser les identités et les profils des visiteurs, leurs données sont donc concernées par le règlement. 


Quelles sont ces données en pratique ? 

Ainsi le moniteur de voile ou le propriétaire d’un gîte, tous deux référencés dans votre SIT sous forme « objets » ou de « bordereaux », sont concernés si vous stockez par exemple : 

  • Nom et prénom
  • Numéro de téléphone
  • Adresse mail personnelle
  • Photos 

À l’inverse la dénomination sociale, le numéro SIRET ou encore l’adresse du site internet ne sont pas concernés. 

Pour aller plus loin 

Ce n’est pas forcément le type de champs d’information qui permet de savoir si la donnée qui y sera stockée sera à caractère personnel mais bien la donnée elle-même. 

Preuve par l’image, ci-dessous avec une fiche publique extraite du SIT APIDAE (https://base.apidae-tourisme.com/) :
 

Extrait d’une fiche relative à un prestataire d’activité recensé sur le SIT APIDAE

 Cet accompagnateur en montagne a communiqué des données à caractère personnel, floutées sur les images. On remarque que l’adresse mail et la photo sont concernées mais pas la description. En effet, seules certaines données permettent d’identifier la personne physique associée. 

De même, imaginez que la description soit la suivante : “Découvrez le chablais avec Lucas Dupont, natif du village d’Abondance …”. Dans ce cas il faudrait apporter la même vigilance que pour les autres données à caractère personnel.  

Conclusion : il est important de traiter toutes les informations recueillies comme des données potentiellement à caractère personnel.


Quelles mesures dois-je mettre en place ?

Des recommandations claires sont listées dans de nombreux articles publiés par des cabinets d’avocats spécialisés sur ce sujet, en voici quelques-unes importantes :

  • Nommer un DPO (Data Protection Officer) chargé de contrôler et de conseiller le responsable des traitements de données.
  • Tenir un registre des traitements expliquant les raisons et objectifs de la collecte des données.
  • Vérifier et mettre en conformité les contrats internes et avec les tiers afin qu’ils respectent la vie privée et donc le RGPD.
  • S’assurer d’être en capacité de mettre à disposition ou d’effacer les données d’une personne de vos bases. 

Vous réalisez régulièrement des mises à jour de vos données en sollicitant les entreprises de votre territoire ?

Saisissez cette opportunité pour obtenir leur consentement vis à vis de l’utilisation de leur données (traitements, diffusions, etc.).

Focus sur l’obtention du consentement

 Si le traitement repose sur le consentement de la personne, celle-ci doit l’avoir donné par un acte positif clair et explicite.

Lorsque vous actualisez votre base de données et que vous sollicitez une entreprise par le biais d’un questionnaire, (papier, pdf, web) il est essentiel d’obtenir le consentement de celui-ci. Généralement cela consiste à lui faire signer des Conditions Générales d’Utilisations encadrant tous les traitements qui seront réalisés avec ses données.

Ce document définit, entre autres :

  • les traitements réalisés ;
  • les supports de diffusion des données ;
  • les droits de mise à jour, correction et suppression des données ;
  • les engagements de la collectivité publique ou de l’entreprise privée collectant les données ;
  • les engagements du fournisseur d’information ;
  • les droits de propriété des données ;
  • les autorisations d’utilisation et de réutilisation des données.

Nous vous recommandons bien entendu de vous faire accompagner par des spécialistes lors de la rédaction de vos CGU.

Ce qu’il faut retenir

La mise en application du RGPD n’est certes pas sans conséquences sur vos circuits de gestion de données. Mais n’oublions pas que ce règlement est créé dans le but de mieux nous protéger de l’exploitation abusive de nos données par les entreprises ou les acteurs institutionnels intervenants au sein de l’union européenne.

Stay tuned !

“Avec notre plateforme de gestion de données touristiques Hubo nous permettons à nos clients de rapidement recueillir le consentement des personnes physiques concernées par les données à caractère personnel.

Les représentants d’entreprises touristiques peuvent à tous moments actualiser leurs informations directement via Hubo ou indirectement via leurs outils habituels connectés à Hubo (Google my Business, Page Facebook, etc.).”

Damien Catala, CEO et co-fondateur de Dahub