Analyses, Industrie voyagiste

Le GDPR en question

Le mardi 12 décembre dernier, dans le cadre du BTExpo, l’UPAV a organisé une session d’information au sujet du fameux GDPR. Nous avions déjà abordé le sujet dans notre TM Newsletter 993 du 29 septembre dernier, mais au vu de sa complexité, il nous semblait utile de repasser ses grandes lignes en revue.

Le GDPR pour les agents de voyages

Comme vous le savez probablement, le GDPR est le Règlement général pour la protection des données personnelles, un règlement européen qui date de 2016. Il vise une harmonisation des règles au sein de l’Union européenne, lesquelles serviront de base de discussion commune pour des exigences identiques dans tous les pays de l’Union.

Il faut bien être conscient que, à l’heure actuelle, les données personnelles ont une valeur économique que le GDPR prend en considération en vue de concilier à la fois les intérêts des particuliers et ceux des acteurs publics.

L’entrée en vigueur de ce nouveau règlement est fixée au 28 mai 2018.

Dans ce contexte, la Commission de la vie privée va voir son cadre s’étoffer, car cette dernière pourra procéder à des contrôles pour voir si les acteurs qui traitent des données personnelles le font bien. Les sanctions s’en verront également accrues, les amendes de base pouvant aller jusqu’à dix millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise!

Le GDPR concerne toutes les données à caractère personnel qui permettent d’identifier une personne concernée, qu’il s’agisse de son nom, son prénom ou son adresse, mais aussi de sa plaque d’immatriculation, ses mots de passe, ses données biométriques, etc.

Ces informations subissent un traitement, c’est-à-dire diverses opérations (couvertes par le GDPR) telles que la collecte, l’enregistrement et la conservation, l’organisation et la structuration, la consultation et l’utilisation, la communication des données, etc.

Trois personnes peuvent intervenir dans ce processus: le responsable du traitement, soit la personne qui définit les finalités et les moyens du traitement, le sous-traitant, soit la personne qui traite les données pour le compte du responsable du traitement (qui n’est pas un sous-traitant selon sa première acception), et l’éventuel co-responsable.

Par exemple, un agent de voyages devant réserver un vol ou une assurance pour un client agit en tant que sous-traitant, car il traite (ici, collecte et transfère) ces données pour le compte de la compagnie en question. La question est de définir qui est responsable ou non.

Les sept grands principes

  1. Licéité, loyauté et transparence

Le principe de transparence implique l’obligation d’informer la personne concernée de l’existence d’un traitement de ses données, des données qui doivent être traitées et du pourquoi de leur traitement. Il faut également informer cette personne des transferts éventuels de ses données entre différents opérateurs ou fournisseurs. Enfin, il faut l’informer de la durée du traitement et de la conservation des données ainsi que de ses droits (accès aux données, rectification, etc.).

Le principe de licéité s’applique quant à lui à certains types de données dites sensibles. Il peut s’agir de données relatives à la santé, mais aussi à la religion, l’orientation sexuelle ou autre. Ces données ne peuvent pas être demandées ‘comme ça’, mais nécessitent un consentement exprès et écrit (exigé par le GDPR). Idéalement, il faudrait obtenir ce consentement avant la récolte de données, mais au vu de la réalité, le GDPR accorde de le faire ‘dans un délai raisonnable’.

Enfin, le principe de loyauté implique que le traitement doit être conforme à ce qui a été annoncé à la personne concernée.

  1. Finalités

Le but du traitement des données doit être déterminé, explicite et légitime.

  1. Minimisation

La minimisation (ou proportionnalité) implique que le responsable du traitement ne peut et ne doit utiliser que les données nécessaires à la mission qu’on lui a confiée, et ce, uniquement pour la durée nécessaire.

  1. Exactitude

Il va de soi que les données récoltées doivent être exactes.

  1. Durée

La conservation des données ne peut avoir lieu que pendant la durée nécessaire à la finalité.

Dans ce contexte, il incombe au responsable du traitement (ici, l’agent de voyages) de définir une durée ‘type’ de conservation des données de ses clients (par exemple, cinq ans) en vue de campagnes promotionnelles ou autres. Dans ce cas, l’agent de voyages justifie cette conversation par son intérêt légitime en vue de fidéliser le client.

Il revient donc à chaque agence de fixer clairement le point de départ du délai de conservation des données de ses clients.

  1. Sécurité

La sécurité se divise en deux volets: organisation et technique.

D’un point de vue organisationnel, il convient de limiter les récoltes de données au strict nécessaire, de limiter le nombre de personnes qui ont un réel besoin de connaître ces données, de cloisonner si possible l’espace physique où les clients communiquent leurs données et de former les employés qui sont amenés à traiter des données.

D’un point de vue technique, il faudra réfléchir au fonctionnement de votre site web, à l’anonymisation des données, etc.

  1. Responsabilité (‘accountability’)

La responsabilité implique qu’on doit être non seulement capable de respecter le GDPR, mais qu’on doit aussi être en mesure de prouver qu’on le respecte (en vue d’un éventuel contrôle).

En pratique, il faudra déterminer des règles de gouvernance (réunir des preuves du consentement des clients…) et prévoir des procédures internes et externes. Par exemple, dans tel cas ou tel type de voyage, il faut prévoir tel formulaire, etc.

Droits de la personne concernée

Le GDPR allant dans le sens des consommateurs, la personne concernée par le traitement des données voit évidemment le nombre de ses droits s’accroître. Elle doit, entre autres, pouvoir avoir accès à ses données, c’est-à-dire pouvoir demander quelles sont les données conservées à son sujet et pourquoi celles-ci sont conservées.

Elle a aussi le droit de demander la rectification et l’effacement de ces données (le second point étant une nouveauté).

Enfin, autre nouveauté, le droit à la portabilité. En d’autres termes, ce droit permet aux clients de demander l’extraction de leurs données et leur transmission à un autre opérateur.

Que faire aujourd’hui et demain?

Au terme de cette présentation sur le GDPR, il n’y a avait qu’une chose de claire: maître Loveniers avait très bien présenté le sujet. Quant à son application dans la pratique… C’est une autre paire de manches!

Concrètement, les agents de voyages vont devoir établir des documents clairs adaptés à chaque situation et informer leurs clients des données dont ils ont besoin, de quelle façon, pour quelle durée, etc. Dans leur relation avec leurs fournisseurs, ils vont aussi devoir définir les rôles de chacun de façon claire: dans tel ou tel contexte, qui est responsable et qui est sous-traitant?

N’oublions pas non plus la question du consentement, obligatoire pour l’obtention de données sensibles ou concernant la santé.

Dans son Info UPAV du 15 décembre dernier, l’UPAV incite à ne pas paniquer, mais à bien prendre conscience qu’il y a un réel travail à faire rapidement. L’UPAV recommande à ses membres d’effectuer un premier audit relatif à leur fonctionnement afin de déterminer les processus à adapter. Ensuite viendra la mise en place des process nécessaires.

“Les associations du secteur travaillent activement ensemble pour proposer une aide concrète (audit et process) dans les deux prochains mois.

Par ailleurs, les nouvelles Conditions Générales de la Commission Litiges Voyages sont en cours de finalisation. Elles vous seront livrées dès validation et incluent ces nouvelles exigences.”

 

Margaux Descamps, Staff Reporter Travel Magazine

Comments