Le voyage d’affaires à l’épreuve du RGPD
En mai 2018, le RGPD (Règlement général pour la protection des données) entrait en vigueur,
contraignant les entreprises à des mesures veillant à la confidentialité des données.
Deux ans plus tard, dans les activités Travel comme ailleurs,
le respect des obligations reste délicat et les procédures méconnues.
Le RGPD, un cadre légal primordial, mais toujours ignoré
En cas de non-respect de la protection des informations personnelles des clients ou collaborateurs, les sanctions peuvent être lourdes : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise. Seuls 10 % des sites web respecteraient une application stricte du RGPD. Seule la moitié des acteurs de l’hôtellerie seraient en mesure de répondre aux demandes de mise à disposition des données personnelles dans un délai d’un mois.
Des acteurs victimes d’amendes sévères
Une grande compagnie aérienne a appris à ses dépens que les négligences pouvaient coûter cher. Elle a été condamnée en 2019 à une sanction de 200 millions d’euros, en raison d’incidents de sécurité concernant 500 000 usagers et portant sur des données de cartes de paiement et d’autres éléments de voyage. Les autorités ont estimé que l’entreprise avait eu largement le temps et les moyens de mener des audits de sécurité en amont qui auraient pu éviter cette situation.
Un grand groupe hôtelier a également écopé de 110 millions d’euros d’amende pour un motif semblable. En 2020, les sanctions vont se multiplier en raison d’une volonté forte de faire comprendre à toutes les entreprises que les données de voyage ne sont pas anodines.
Les négligences au cœur du problème
L’importance des informations personnelles reste sous-estimée. Les données de voyages par exemple sont bien plus sensibles qu’il n’y paraît : à partir de la simple composition d’un repas, on peut déduire la religion d’un collaborateur, certaines caractéristiques liées à sa santé.
Organiser les bonnes pratiques
Plusieurs actions sont décrites comme indispensables au bon fonctionnement :
- procéder au recensement des traitements de données et mener des audits sur ces derniers
- évaluer les risques relatifs au non-respect de la confidentialité et analyser leur impact en cas de risque élevé
- désigner un pilote de la conformité et responsabiliser tous les acteurs
- sécuriser sur un plan technique l’organisation des données
- veiller en permanence aux droits des personnes
- documenter toutes les actions afin d’anticiper d’éventuels contrôles de la part des autorités
Retrouvez l’infographie !