Analyses, Association professionnelle, Industrie voyagiste

L’agence de voyages face à la General Data Protection Regulation (GDPR)

Cet acronyme se traduit par: règlement général sur la protection des données personnelles ou comment organiser et gérer légalement les informations que vous avez sur vos clients. Quels sont vos droits et vos devoirs quant à l’usage que vous pouvez en faire. L’UPAV, en collaboration avec l’UCM, a organisé un séminaire d’information permettant aux agents de voyages de connaitre les règles du jeu.

L’UPAV en première ligne

Une cinquantaine d’agents de voyages, membres et non-membres UPAV ont montré leur intérêt pour cette formation. Cela représente beaucoup pour l’UPAV qui s’enthousiasme de voir de nouveaux visages s’investir pour la profession. Ils ont répondu présents à l’invitation à suivre la présentation de la juriste de l’UCM Anne Mikusinski qui, sur base d’un jeu de questions-réponses, a fait passer l’essentiel du message.

Les grands principes

Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l’ensemble des 28 Etats membres de l’Union européenne à compter du 25 mai 2018. Elles concernent toutes les entreprises ayant à gérer des bases de données relatives à leurs clients qui sont des personnes physiques identifiées ou identifiables. Ces listings clients et les données comptables qui s’y rattachent, qu’ils soient en version électronique ou sur support papier, constituent des données soumises à la nouvelle réglementation. Ils doivent être miss aux normes avant le 25 mai. Néanmoins, le niveau de la gestion des données ne sera pas le même selon le type de données traitées et le volume de celles-ci. Ainsi, une petite entreprise ne sera pas soumise au même niveau d’exigence qu’une multinationale telle que Facebook. Il n’existe pas d’exception de principe pour les PME ou les TPE.

Les droits du client

Une adresse IP, par exemple, est considérée comme une donnée à caractère personnel. A l’autre extrémité du registre, nous conviendrons qu’il est rare qu’une agence de voyages ‘s’amuse’ à collecter des informations relatives à la santé, aux préférences alimentaires, à l’appartenance religieuse, ou encore à l’orientation sexuelle de ses clients. Sauf si le client lui-même en fait la demande expresse et par écrit pour des raisons d’organisation de son séjour. Il y aura donc ici ‘consentement’ écrit de la part du client. Ces données sensibles ne peuvent en aucun cas sortir du colloque singulier que l’agent aura eu avec son client. Le principe de base doit être clair pour tous les protagonistes: le client doit faire un acte de consentement par écrit, signé et daté autorisant l’agence à conserver ses données, voire à les utiliser à des fins de relances commerciales, à les revendre ou les partager avec un partenaire commercial. Le consentement écrit est la règle de base. Il ne suffit plus de cocher une simple case.

Droit des personnes concernées

Les clients déjà enregistrés ont des droits auxquels l’agence doit pouvoir répondre dans des délais raisonnables. Ainsi, les personnes concernées doivent être informées des finalités pour lesquelles leurs données sont utilisées, à qui leurs données sont communiquées et vers qui elles peuvent se tourner afin d’exercer leurs droits (la Commission de Protection de la Vie Privée)… le droit à la transparence, le droit de contrôle sur ses données et le droit à l’oubli. A partir de maintenant, l’agence a l’obligation d’informer chaque client au sujet des données qu’elles possèdent à son sujet et de lui faire part de ce qu’elle envisage d’en faire précisément.

“Les marketeurs sont des gens dangereux”

Cette gestion devrait, en principe, compliquer les choses pour les grands groupes qui sont très tentés d’exploiter en direct les données clients qui leur sont transmises par les forces de vente… et que l’on ne vienne pas pousser des cris d’orfraie en prétendant que jamais au grand jamais cela ne se fait ou ne se fera. Personne ne vous croira. L’abus de position dominante et la dépendance de l’agent de voyages laissent croire à certains ‘marketeurs’ que l’on peut faire tout et n’importe quoi avec les données clients qui remontent via les dossiers. Des dizaines de cas sont évoqués durant les voyages d’étude. La suppression des intermédiaires et devenue une des règles de la ‘gouvernance par les moins’.

Alors que faire?

Dans le principe général, l’agent de voyages garde ses données comme un trésor de guerre, car la rotation du produit touristique est très lente. On n’achète pas un voyage comme on achète un pain à la boulangerie. Reste à savoir comment on peut gérer légalement ces données? Le client a clairement donné son consentement pour que vous utilisiez ses données dans un but précis et uniquement dans ce but (pas d’autorisation générale). Par ailleurs, l’agence de voyages peut avoir de bonnes raisons de garder ces données pour se conformer à une obligation légale de conserver ce type de données (par exemple des obligations comptables et fiscales). Ces données sont nécessaires pour exécuter un contrat conclu avec la personne (par exemple une adresse de livraison de documents de voyages et/ou de transferts. L’agence a un intérêt légitime à utiliser ces données et peut, après consentement écrit et signé, relancer ce client pour lui faire connaitre ses offres commerciales.

Les principales obligations à respecter

On passe à un système de contrôle a posteriori où il faut pouvoir justifier la manière dont les données personnelles conservées par l’entreprise sont utilisées et dans quels buts. Le cas échéant, il faut pouvoir prouver qu’elle a fait consciencieusement ce qui était imposé. Avant le 25 mai 2018, selon la taille de l’agence et le nombre de collaborateurs, il serait nécessaire de nommer une personne en charge de ces questions, par exemple le juriste d’entreprise. Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. Toutes les collaboratrices et tous les collaborateurs doivent être impliqués pour faciliter la gestion fluide de la réglementation. Ce registre doit être facilement mis à la disposition et consultable sur requête des autorités ou des personnes concernées par le traitement des données de l’agence. Il faut adapter les contrats fournisseurs et clients aux nouvelles exigences (la plupart de vos fournisseurs sont déjà en ordre, mais cela reste à vérifier au fur et à mesure).

Organisez votre coffre-fort

Sur base de ce registre restructuré, il convient d’évaluer les risques et dangers: vol, altération, suppression… Afin de limiter ces risques, il faudra mettre en place les mesures de protection nécessaires. Cela passera notamment par une bonne sécurité informatique avec un mot de passe solide, un antivirus, une doublure sur disque externe réactualisé chaque semaine…) et la mise en place d’une politique de bonne gestion de l’information dans l’agence.  En cas d’incident majeur (vol de données, par exemple), il est obligatoire d’en informer la Commission de Protection de la Vie Privée et, dans certains cas, les personnes concernées par les données.

Une mise au pas ferme et directe

Vos fournisseurs devront faire la preuve légale et écrite du bon usage des données que vous leur transmettez. Toute entrave ou procédure obscure doit être signalée à la Commission de Protection de la Vie Privée. Cette réévaluation de la fiabilité et du sérieux des partenaires est nécessaire. Cela vaut pour les sous-traitants, qu’ils soient hébergeurs, consultants IT,…). Il faut vérifier que ces sous-traitants offrent des garanties techniques et organisationnelles légales prouvées par convention écrite quant au respect des grands principes de bonne gestion (accountability) énumérés précédemment. Ceci doit notamment apparaître dans les contrats conclus avec ces derniers dans un langage clair et intelligible. Il est temps d’en finir avec la logomachie terroriste des experts de tous poils. De plus, en principe, il est interdit de placer les données personnelles dans un cloud dont les serveurs ne sont pas clairement localisés en Europe. Si l’entreprise souhaite stocker ses données hors Europe, il est nécessaire de passer par des partenaires qui peuvent fournir des garanties appropriées équivalentes à celles imposées en Europe pour le GDPR.

Ne pas respecter le GDPR peut coûter très cher

En cas de plaintes de certaines personnes, par exemple, la Commission de Protection de la Vie Privée constate des manquements, elle peut infliger des amendes allant jusqu’à 20 millions d’euros. Les génies du télémarketing ont de très gros soucis. Il est possible pour plusieurs personnes concernées de porter plainte collectivement contre l’entreprise et exiger des dommages et intérêts. Avec la puissance et la rapidité des réseaux sociaux, les dégâts peuvent être fatals pour l’agence. Les démarches à entreprendre sont certes contraignantes et parfois techniques, mais les risques sont trop grands pour être ignorés. Il est conseillé de consulter le site:

https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0 où le GDPR est présenté et expliqué de manière détaillée. L’UPAV s’est engagé à fournir à ses membres les supports ‘modèles’ spécifiques pour une agence de voyages. Un groupe d’agents présents s’est d’ailleurs proposé pour créer un groupe de travail en collaboration avec Anne-Sophie Snyers, Secrétaire Générale de l’UPAV et Anne Mikusinksi, juriste, spécialiste du GDPR de l’UCM. Ces documents types seront disponibles pour tous les membres dès la fin du mois d’avril. Il restera donc un mois pour peaufiner le modèle et l’adapter à votre propre structure, un travail de quelques heures est à prévoir.

Alain Voisot, Senior Reporter Travel Magazine

 

Comments