Les hôteliers & Le RGPD

Chers hôteliers,

Tout le monde a maintenant entendu parler de la loi RGPD (Règlement Général sur la Protection des Données), mise en vigueur le 25 mai 2018.

Et comme beaucoup d’entre nous, vous vous êtes probablement demandé : « Mais concrètement, ça change quoi pour mon hôtel ? ». Si tel est le cas, comprenez que vous n’êtes pas les seuls. Comme on pouvait s’y attendre avec ses 88 pages, ce texte de loi ne brille pas par sa simplicité.

Via ma société Expérience Hôtel, j’ai pu me faire accompagner d’un spécialiste pour 1) démystifier le sujet et surtout 2) estimer quel sera l’impact sur les hôteliers indépendants.

Voici une version simplifiée des points à mettre immédiatement en place dans votre hôtel

Est-il impératif de s’y mettre tout de suite ?

Oui et non.

Il était impératif de commencer dès le 25 mai, mais pas d’avoir tout mis en place pour cette date. La CNIL (chargée de l’installation de la RGPD pour la France) a clairement insisté sur le fait que toutes les sociétés devaient avoir débuté l’installation de ces nouvelles normes à partir du 25 mai. Mais elle est aussi parfaitement consciente que les petites PME n’auront pas les moyens financiers pour tout établir immédiatement.

Vous devez donc vous y mettre, mais vous n’avez pas l’obligation d’achever la mise en place sur-le-champ. L’essentiel est de pouvoir prouver que vous êtes en train de faire le nécessaire pour adapter votre hôtel aux nouvelles normes.

Résumé du résumé du résumé

Voici dans un premier temps la version ultra-compacte des implications pour votre hôtel :

  1. Les données que vous stockez en interne doivent être protégées ;
  2. Les données de vos clients qui sont stockées chez vos sous-traitants doivent être sécurisées ;
  3. Vos clients doivent vous fournir un consentement explicite sur le traitement qui sera fait de leurs données ;
  4. Vos clients doivent pouvoir vous demander explicitement de ne pas recevoir de futures newsletters de votre part.

Résumé du résumé

Pour faire simple, concernant les points 1 et 2, vous devez vous assurer que tous vos prestataires en mesure d’avoir accès à vos données clients les sécurisent parfaitement. Vous trouverez ci-dessous une liste de tous les prestataires / sous-traitants potentiels, susceptibles d’avoir à effectuer une mise à jour de sécurité pour être conformes au RGPD :

  • Votre agence Web ;
  • Votre « moteur de réservation » ;
  • Votre « channel manager » ;
  • Votre PMS ;
  • Votre solution de revenue management ;
  • Votre consultant / coach et autres prestataires conseils ;
  • Votre solution Wi-Fi (si des informations clients sont récoltées au moment de la
  • connexion) ;
  • Votre solution de gestion de la relation client et/ou E-réputation ;
  • Votre E-conciergerie ;
  • Tout prestataire / sous-traitant ayant accès aux données de vos clients.

Concernant les point 3 et 4… c’est là où ça se complique un peu pour votre hôtel. Il est très facile d’obtenir tous les consentements de vos clients réservant en direct. Mais que faire pour ceux qui prennent une réservation via Booking, Expedia ou autre ? Vous ne pouvez pas demander aux OTA d’obtenir ce consentement à votre place car ce dernier doit contenir des données très spécifiques particulières à votre hôtel (voir plus bas dans l’article).

Le seul moyen que vous ayez d’obtenir le consentement de tous vos clients est de le faire au check-in. Deux options sont alors possibles :

  1. Faire remplir un consentement par écrit le jour du check-in ;
  2. Utilisez une application de “fiche de police” permettant de cocher une case pour obtenir ce consentement.

Exemple de formulation
[_] J’accepte le traitement des données communiquées (Point numéro 3 – avec lien cliquable vers la politique de gestion des données)

[_] Si vous ne souhaitez pas recevoir de notre part des offres commerciales pour nos produits ou services analogues à ceux que vous avez déjà achetés, merci de cocher cette case (Point numéro 4)

Résumé

Enfin, malgré ce mail extrêmement simplifié sur le sujet, voici le résumé (presque) complet que notre consultant RGPD m’a envoyé :

Rappel sur le RGPD : 


Le Règlement Général sur la Protection des Données, institué sur l’ensemble du territoire européen, vise à assurer la protection des données personnelles utilisées dans les entreprises (informations sur leur personnel, sur leurs clients, sur leurs prospects, sur leurs fournisseurs, etc.)

La protection signifie la mise en sécurité des données, mais aussi des droits renforcés pour les personnes, notamment sur le droit à l’effacement, le droit au consentement, le droit à la portabilité, etc.

Le traitement des données de vos clients est concerné par ces dispositions :

Dans le cadre de la gestion des réservations et du suivi des clients de l’hôtel, vous collectez, directement ou via un moteur de réservation indépendant, un certain nombre d’informations qui entrent dans le cadre des nouvelles dispositions. A titre d’exemple, parmi les données le plus souvent collectées par les hôtels figurent :

Nom et prénom des clients, Adresse, Adresse e-mail, N° de téléphone et de télécopie, Référence bancaire (éventuellement), Date et lieu de naissance (éventuellement), Situation familiale, etc.

Le traitement de ces données est légal, licite, et ne doit pas être interrompu :

Ces données sont nécessaires à votre activité et ne posent pas de difficultés particulières, ni à votre hôtel, ni aux prestataires qui vous assistent dans ces tâches.

Le RGPD en effet ne vous demande pas de ne pas collecter ces données, mais de les sécuriser et de mettre en place un ensemble de dispositions légales, tant à votre niveau,
 qu’au niveau de vos prestataires.

Respect du RGPD par votre hôtel et vos autres prestataires :

Poursuivant notre analyse, nous nous sommes attachés à recenser ce qui pourrait, tant au niveau de votre hôtel qu’au niveau de vos autres intervenants, nécessiter des ajustements de votre part et/ou de la part de vos autres intervenants afin de vous conformer aux mêmes obligations.

Les intervenants concernés sont par exemple :

  • Votre agence Web ;
  • Votre « moteur de réservation » ;
  • Votre « channel manager » ;
  • Votre PMS ;
  • Votre solution de revenue management ;
  • Votre consultant / coach et autres prestataires conseils ;
  • Votre solution Wi-Fi (si des informations clients sont récoltées au moment de la 
 connexion) ;
  • Votre solution de gestion de la relation client et/ou E-réputation ;
  • Votre E-conciergerie ;
  • Tout prestataire / sous-traitant ayant accès aux données de vos clients.

Mise à niveau de votre information auprès des clients :

La tâche qui vous incombe à cet égard n’est pas colossale, mais elle est incontournable. Le RGPD ne visant pas uniquement l’aspect traitement des données au sein de l’entreprise, mais comportant en sus un volet crucial sur l’information communiquée aux clients lors de l’enregistrement des données personnelles, c’est bien toute la fonction et la procédure du check- in client qu’il convient d’auditer afin qu’elle intègre les informations obligatoires.

Enfin, nous vous rappelons que le RGPD vous impose de sécuriser en interne les données personnelles de vos clients. Votre responsable juridique et/ou informatique saura vous apporter ses compétences sur ces questions

Avez-vous le droit de continuer à contacter votre clientèle par email ?

Oui, vous pouvez tout à fait continuer à contacter vos clients par email.

Voici deux extraits de documents officiels qui abordent ce sujet :

“ Le RGPD ne change pas les règles applicables aux mails de prospection, que ces derniers soient en B2B ou en B2C ; Les règles en matière de prospection électronique dépendent de la directive e-Privacy, transposée en droit français à l’article L.34-5 du Code des Postes et des communications électroniques ; […]. ”

Source : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

[…] Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé. […]

Source : https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000006465787&dateTexte=20090330

Comment informer votre clientèle passée de votre politique de gestion des données ?

Ce paragraphe s’adresse à ceux d’entre vous envoyant régulièrement des emails de prospection (newsletters) : concernant votre base existante, nous vous recommandons de rédiger un email informant de votre politique d’utilisation des données en vous inspirant du texte de politique de gestion des données ci-dessous.

Propositions de mentions types

Afin de vous aider, nous vous proposons ci-dessous une rédaction à minima des dispositions indispensables devant figurer lors de votre procédure de check-in pour rester en conformité avec les dispositions du RGPD :

Annexe 1 – MENTIONS POUR LES CLIENTS DE L’HÔTEL

Les mentions devant figurer lors du check-in de votre client devraient contenir à minima les termes suivants :

« Les informations personnelles que (Nom de l’hôtel) sera amené à traiter, et vous concernant, résultent de votre démarche en vue d’une réservation auprès de notre hôtel, ou en vue de la réception par vos soins de documentation.

« Ces données sont :

( Lister toutes les données collectées – par exemple vous indiquerez : le nom, le prénom, l’adresse, l’adresse e-mail, le téléphone, le téléphone portable, le fax, l’âge, la nationalité, la situation de famille, le nombre de personnes composant le foyer, la nature de la réservation professionnelle ou personnelle, l’entreprise, etc.) 


(Vous ne listerez naturellement que celles qui sont réellement demandées. )


« Ces données sont nécessaires aux traitements suivants :

  • Réception de documentation sur l’hôtel et/ou son groupe ;
  • Réception d’un suivi via e-mails aux fins d’étude de satisfaction et/ ou de prospection ;
  • Amélioration de notre suivi et service client ;
  • Réservation d’un service en ligne ;
  • Traitement de statistiques ;
  • Comptabilité et gestion de notre hôtel ;
  • Autres ( à décrire ).

(Vous ne citez naturellement que les traitements qui sont effectivement poursuivis.)

« Ces données sont utilisées par l’hôtel et par ses prestataires aux fins décrites ci-dessous :

  • Le gestionnaire de réservation : (nom, adresse, siret) aux fins du service de réservation.

(Complétez la liste avec tous les prestataires et pour chaque prestataire concerné l’usage qu’il en fait.)

« Ces informations ne sont ni vendues ni communiquées à des tiers et sont strictement réservées aux usages internes décrits ci-dessus.

« La loi et notamment le Règlement Général sur la Protection des Données Personnelles vous donne à tout moment le droit de faire modifier les données ci-dessus, de même que le droit de vous les faire communiquer, de les effacer ou de les limiter dans le temps. Vous pouvez à cet effet utiliser l’une des procédures suivantes :

  • Formulaire de contact sur notre site web ;
  • Formulaires de suivi client qui vous sont envoyés avant, pendant et après votre séjour ;
  • Envoi d’un e-mail à l’hôtel ;
  • Envoi d’un courrier à l’hôtel ;
  • Contact en direct de l’un des prestataires précédemment nommés.

Réservez votre séjour | Site officiel : RESIAVC.EU

Laissez un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs doivent être remplis.