Données: revoir ses procédés

Comment peut-on désormais communiquer avec nos clients? C’est la question que pas mal d’entreprises actives dans le domaine du tourisme doivent se poser depuis l’entrée en vigueur, le 25 mai dernier dans l’Union européenne du nouveau Règlement général sur la protection des données (RGPD). Ce dernier a pour objectif de mieux protéger le grand public, en particulier les enfants, contre l’exploitation de leurs données.

De quelles données parle-t-on au juste? «On parle ici de tout ce qui a trait aux informations personnelles d’une personne, comme son nom, son prénom, son numéro de téléphone, son adresse, son e-mail, mais aussi la longueur de son séjour dans un hôtel», explique Raffael Kubalek, responsable adjoint du service juridique de GastroSuisse.

Même si ce réglement a été élaboré par l’Union européenne, il concerne de très près la Suisse, en particulier les vacanciers européens profitant d’un séjour dans notre pays. Selon le RGPD, lors d’une réservation, des facteurs tels que l’utilisation d’une langue ou d’une monnaie d’usage dans un ou plusieurs Etats membres, avec la possibilité de commander des biens ou des services, suffit pour que la loi s’applique. La notice de GastroSuisse envoyée à ses membres le confirme: il faut partir du principe que le site internet d’un hôtel qui permet aux clients d’y choisir la langue et de payer dans la devise de leur pays de provenance (au sein de l’UE) peut tomber sous le coup de la disposition. La mise en ligne de publicité dans des pays de l’UE, notamment si le prestataire publie des annonces ou fait inscrire des mots-clés pour des recherches sur Google, est également visée. Dans la branche, outre les établissements gastronomiques qui seraient susceptibles de procéder à des actions marketing, peu de restaurants sont concernés. En revanche, les hôtels et les destinations le sont clairement.

Plus restrictive, cette loi n’empêche cependant pas de maintenir la relation client. Selon Hotrec, l’organisation faîtière européenne des hôtels, restaurants et cafés, «il est admissible de conserver un minimum de données destinées à des fins de marketing, étant donné que, dans ce cas, il s’agit d’intérêts commerciaux légitimes (maintien de la fidélisation de la clientèle)». Pas de quoi céder à la panique, mais de quoi réviser ses pratiques. En effet, toute récolte de données, aussi minime soit-elle, est soumise à de nouvelles disposi­tions. «Le traitement de données peut découler du consentement de la personne concernée (volontairement et non simplement par clic préalable de la case correspondante), de l’exécution d’un contrat (un contrat d’hébergement, par exemple), de l’accomplissement de devoirs légaux (fiche d’hôtel) ou d’un intérêt prépondérant», définit le RGPD.

«Dans le cas de récolte de nouvelles données, il faut informer la personne sur le type de détails que l’on enregistre, ce que l’on va en faire, leur durée de conservation et, si c’est le cas, à qui on les transfère», conseille l’avocat et docteur en droit lausannois David Raedler. «Je recommande de poser ces questions de manière systématique et de demander le consentement par écrit», poursuit-il. Dans le cas où les informations sont déjà enregistrées, deux pratiques sont possibles:

  • «Opt-in»: cette méthode consiste à solliciter l’autorisation préalable de la personne (case à cocher, défilement d’une liste déroulante…), par exemple pour l’utilisation d’une adresse e-mail dans un cadre précis.
  • «Opt-out»: l’utilisateur doit décocher ou se désabonner de lui-même à l’inscription sur une liste de diffusion. Si l’utilisateur ne le fait pas, il sera par défaut inscrit à la liste de diffusion.

Si on veut être strict et se conformer à le RGPD, mieux vaut opter pour la première méthode, estime David Raedler. «Le gros désavantage est qu’en moyenne on obtiendra seule­ment 5% de réponses. Ce qui fait que toute une base de données peut être perdue.» Il recommande donc de privilégier une formule qui demande à l’utilisateur de se désabon­ner lui-même du service, mais seulement lorsque le traitement n’implique pas de données sensibles (données médicales, sphère intime, données sur des poursuites, etc.). Dans ce dernier cas, seul l’opt-in constitue une solution possible.

Qu’en est-il des Suisses? Pour l’instant, les visiteurs indigènes ne sont pas touchés par ces changements. Pourtant, les experts mettent en garde. «Peu à peu, les gens sont plus conscients de l’importance de la protection de leurs données. Le RGPD met justement ce besoin de transparence en lumière. Il faut donc se préparer dès maintenant à être compatible et travailler uniquement avec les données dont on a réellement besoin», argumente Stéphane Koch, conseiller en stratégie numérique et en sécurité de l’information. Ce que confirme GastroSuisse dans ses recommandations. «La loi suisse sur la protection des données est en cours de révision (ndlr: elle est prévue pour 2019). De ce fait, il faut s’attendre à ce qu’un certain nombre de dispositions européennes soient reprises. C’est pourquoi il est d’ores et déjà indispensable pour les entreprises suisses de se pencher sur la question.»

RGPD: check-list pour entreprises, selon Hotrec

  1. Nommer une personne responsable des questions de protection des données dans votre entreprise
  2. Identifier quelles données personnelles sont traitées dans l’entreprise et pourquoi elles sont traitées
  3. Faire une évaluation de la base juridique des informations traitées
  4. Se demander quels sont les droits du client concerné
  5. Evaluer comment les informations sont collectées
  6. Notifier le client sur l’utilisation qui sera faite des informations personnelles qui lui ont été demandées
  7. Etablir une check-list pour gérer des incidents liés aux atteintes à la protection des données
  8. Former son personnel

Aktuelle News