Les nouvelles mesures imposées au secteur de l’hôtellerie suite au nouveau Règlement Général sur la Protection des Données personnelles de l’UE

L’union Européenne prévoit en 2018 d’instaurer un nouveau Règlement Général sur la Protection des Données personnelles. L’objectif de cette nouvelle mesure consiste à renforcer la sécurité des données des pays membres de l’UE face aux nombreuses cyberattaques.

La RGPD rentre en vigueur le 25 mai

L’hôtellerie : un secteur plus que concerné par la RGPD

C’est à partir du 25 mai 2018 que le RGPD sera mis en place. De nombreux secteurs sont concernés et sont donc dans l’obligation de mettre en place une nouvelle organisation afin de respecter ce futur règlement. C’est le cas notamment de l’industrie hôtelière qui manipule une quantité de données importante chaque jour. La mise en place du RGPD s’avère donc plus que nécessaire au sein de ce secteur selon l’UE.

Les établissements hôteliers, et en particulier les hôtels de luxe, ont déjà été victimes de cyberattaques. Nous nous rappelons de DarkHotel, la campagne de piratage qui cherchait à cibler les chefs d’entreprise et entrepreneurs.

Les hôtels sont en effet une proie facile pour les hackers grâce à leur réseau Wifi gratuit. Nombreux sont les clients qui profitent de ce service pour se connecter avec leur téléphone ou ordinateur personnel. La sécurité des données personnelles des clients hôteliers est en danger dès lors qu’un pirate informatique réussit à s’infiltrer dans le réseau Wifi de l’hôtel. Pour plus d’informations à ce sujet, nous vous invitons à consulter notre article sur le piratage dans le secteur de l’hôtellerie.

Quelles sont les mesures prioritaires à mettre en place ?

Six grandes mesures sont à mettre en place par les acteurs de l’industrie Hôtelière selon le RGPD 2018 :

  1. Géolocaliser les données personnelles des clients, sous-traitants, partenaires… pour réagir efficacement en cas de cybercriminalité.
  2. Utiliser les méthodes de chiffrement des données et de pseudonymisation afin de garantir une bonne sécurité des processus et plateformes de l’hôtel.
  3. Nommer un ou des responsables de la protection des données chargés de revoir les processus d’accès, d’archivage, de transfert et de contrôle des données.
  4. Evaluer le risque de cyberattaque par système et analyser les différents risques et impacts que cela pourrait engendrer.
  5. Mettre en place une campagne de sensibilisation auprès du personnel de l’hôtel sur l’importance de bien sécuriser les données sensibles et les former à la nouvelle organisation.
  6. S’assurer auprès des partenaires, prestataires et sous-traitants de bien mettre en place ces nouvelles règles de sécurité lors de leurs échanges de données.

De lourds préjudices pour les hôtels en cas de non-respect du règlement

Par la mise en place de ces mesures, les établissements hôteliers renforcent ainsi leur système de protection des données pour garantir une plus grande sécurité au sein de leur environnement.

La CNIL (Commission Nationale de l’Informatique et des Libertés), prévoit certaines sanctions dans le cas où les nouvelles mesures imposées par ce règlement ne seraient pas respectées. Des punitions disciplinaires et pécuniaires pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial pourraient être mises en place. Les établissements hôteliers qui ne prennent pas en main leurs nouvelles responsabilités verraient alors leur réputation se dégrader, entraînant ainsi une baisse de confiance et de fidélité de la part de leur clientèle. Ces sanctions témoignent de l’importance qu’accordent la CNIL et l’Union Européenne dans la mise en application du RGPD.

Avis et préconisations de Laurent Brault, dirigeant de MDK Solutions

Dans une entreprise (un hôtel ou un groupe hôtelier), il est important de définir qui doit être le responsable du projet RGPD, mais la problématique est complexe. Les acteurs internes principaux appartiennent en général au service juridique et au service informatique (DSI/RSSI) de l’établissement. Ainsi, il est nécessaire de faire porter ce projet par un acteur indépendant de ces systèmes. La solution la plus appropriée serait alors de désigner une personne externe appartenant à un comité de projet intégrant la Direction Générale de l’hôtel.

En ce qui concerne l’hôtellerie, le projet RGPD est particulièrement important puisqu’il va de la prospection (collecte massive de données), passe par la gestion des données utilisées par les clients pendant leur séjour, et finit par la gestion des données manipulées par l’hôtel jusqu’à leur suppression.

La question de l’hébergement de ces données est bien sûr un des points vitaux. Il est indispensable de s’assurer que les serveurs de l’hébergeur soient situés dans un pays membre de l’Union Européenne, sous peine de prendre en compte une autre réglementation telle que le Patriot Act américain si un serveur venait à être installé aux Etats-Unis d’Amérique.

Avec cette nouvelle réglementation, les hôtels n’ont pas intérêt à dissimuler une fuite de données. Le fait de ne pas notifier une fuite implique une forte sanction. Il est donc nécessaire de bien prévoir les processus de décision, de communication pour pouvoir agir efficacement et rapidement en cas de violation des données.

Dans le projet RGPD, comme dans tous les projets de sécurité des données, il ne faut pas oublier que l’un des risques majeurs est le risque « humain ». Vous pouvez chiffrer les données sensibles stockées sur les serveurs, mais si des utilisateurs internes peuvent les déposer et les laisser en clair sur leur ordinateur, il est fort probable que ces données échappent rapidement aux contrôles de la direction informatique, et soient alors en danger.

Par où commencer ?

  1. Il faut d’abord structurer le projet et sa gouvernance
  2. Réaliser ensuite un état des lieux pour bien identifier les flux de données et leurs traitements
  3. Définir la cible recherchée
  4. Une fois ces étapes effectuées, vous pouvez procéder à l’élaboration du chemin à parcourir (les points de non-conformité à lever, les priorités, les moyens, …)
  5. Identifier et organiser les processus spécifiques au RGPD

Toutes ces étapes permettront alors aux entreprises de réagir efficacement en cas de cyberattaque, cette préparation en amont est donc indispensable.

Partager cette page