Quel est l’impact du RGPD sur les Offices de Tourisme et les Comités départementaux ou régionaux de tourisme ?
Ces organismes collectent et traitent des données relatives à leur clients et font aussi des campagnes de prospection pour faire venir lesdits touristes dans leurs région, département ou ville respectives. Rien de plus légitime à condition de respecter les droits des personnes concernées et sécuriser les fichiers.
Quelques réflexes à avoir :
En cas de site « vitrine » proposant un formulaire de contact et l’abonnement à une lettre d’information : prenez soin que l’accès au contenu de votre site ne soit pas conditionné à l’abonnement à votre newsletter et prévoir des « mentions CNIL » en bas du formulaire de contact (on peut trouver des exemples sur le site de la CNIL) et un moyen de contact pour que les personnes puissent exercer leurs droits par voie électronique, ainsi que des mentions légales identifiant l’éditeur du site.
En cas de vente à partir du site, trois règles simples à retenir :
- Sécurisez les données en ligne : le parcours de vente doit être en https ; imposez à vos clients un mot de passe complexe à la création de leur compte ; ne transmettez pas de données personnelles par email (exemple : mot de passe, coordonnées personnelles) ; ne conservez pas les coordonnées bancaires de vos clients ; sécurisez la transaction bancaire avec un service de paiement en ligne sécurisé. Vos prestataires ont des responsabilités spécifiques en matière de sécurité et de confidentialité des données, et une obligation de conseil. Assurez-vous de leur capacité à vous accompagner.
- Informez vos clients sur ce que vous faites de leurs données : insérez une page « vie privée », accessible et compréhensible par tous. Assurez-vous régulièrement de sa mise à jour.
- Offrez à vos clients une possibilité simple de contact (email dédié, formulaire de contact ou en mode privé sur les réseaux sociaux) pour vous demander l’accès, la rectification ou l’effacement de leurs données, ou pour vous signaler toute difficulté sur le traitement de celles-ci.
Ces organismes sont-ils dispensés de faire un registre de traitements ? et à quoi sert-il ?
Cet outil de conformité est obligatoire quels que soient la taille et le secteur de l’organisme, public ou privé qui met en œuvre des traitements de données personnelles. La dérogation prévue pour les organismes de moins de 250 salariés ne vaut que pour les traitements occasionnels (une campagne de prospection commerciale par exemple).
S’agissant d’une obligation légale, il est demandé systématiquement par la Cnil en cas de contrôle. La Cnil a élaboré un modèle simplifié : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
Ce registre vous permet ainsi de faire l’inventaire de vos fichiers (gestion de la paye, gestion des clients prospects, des fournisseurs, etc.). Vous aurez ainsi une vision d’ensemble des informations dont vous disposez. Cela vous est indispensable pour savoir :
- Comment assurer la sécurité de ces informations concernant vos client, salariés.. dont vous êtes responsable en cas de perte, vol … Les contrôles de la Cnil débouchent le plus souvent sur le constat de manquement à l’obligation de sécurité des données ; vos clients, salariés auront d’autant plus confiance en vous que vous protégerez leurs données.
- Comment mieux les utiliser dans le cadre de votre activité : à quoi vous servent-elles ? si elles ne sont pas utiles et nécessaires, supprimez-les ; ne les conservez pas au-delà de ce qui est nécessaire pour atteindre l’objectif pour lequel elles ont été collectées ; vérifiez qui y a accès et pourquoi faire : le partage et la circulation des données personnelles doivent faire l’objet de contrats, afin de leur assurer une protection à tout moment. Vérifiez les destinataires de ces données ainsi que les habilitations accordées, tant en interne qu’en externe (prestataires).
Ont-ils besoin de désigner un délégué à la protection des données (DPO) ?
La désignation d’un délégué est obligatoire pour toutes les autorités ou les organismes publics, quelle que soit leur taille, et pour les organismes qui procèdent à un suivi régulier et systématique des personnes ou à un traitement de données « sensibles » (santé, vie sexuelle, opinions religieuses, …) ou relatives à des condamnations pénales et infractions, et ceci à grande échelle, comme par exemple des hôpitaux ou des banques. Elle est en outre grandement recommandée pour les acteurs même privés qui gèrent une mission de service public.
Même si elle n’est pas obligatoire, la désignation d’un délégué à la protection des données est encouragée car elle permet de confier à un référent l’identification et la coordination des actions à mener en matière de protection des données personnelles.
Les organismes peuvent désigner un délégué interne ou externe à leur structure. Le délégué peut par ailleurs être mutualisé c’est-à-dire désigné pour plusieurs organismes sous certaines conditions (un délégué désigné pour un groupe d’entreprises devra être facilement joignable à partir de chaque lieu d’établissement et en mesure de communiquer efficacement avec les personnes concernées et coopérer avec l’autorité de contrôle).
Pour aller plus loin
ADN Tourisme propose à ses adhérents un accompagnement spécifique pour la mise en conformité au RGPD, ainsi que l’accès à un DPO externalisé.
Pour tout renseignement, contacter Pascale VINOT : pascale.vinot@adn-tourisme.fr