Le voyage d’affaires à l’épreuve du RGPD 

En mai 2018, le RGPD (Règlement général pour la protection des données) entrait en vigueur,
contraignant les entreprises à des mesures veillant à la confidentialité des données.
Deux ans plus tard, dans les activités Travel comme ailleurs,
le respect des obligations reste délicat et les procédures méconnues.

Le RGPD, un cadre légal primordial, mais toujours ignoré

En cas de non-respect de la protection des informations personnelles des clients ou collaborateurs, les sanctions peuvent être lourdes : jusqu’à 20 millions d’euros ou 4 % du chi­ffre d’aff­aires de l’entreprise. Seuls 10 % des sites web respecteraient une application stricte du RGPD. Seule la moitié des acteurs de l’hôtellerie seraient en mesure de répondre aux demandes de mise à disposition des données personnelles dans un délai d’un mois.

Des acteurs victimes d’amendes sévères

Une grande compagnie aérienne a appris à ses dépens que les négligences pouvaient coûter cher. Elle a été condamnée en 2019 à une sanction de 200 millions d’euros, en raison d’incidents de sécurité concernant 500 000 usagers et portant sur des données de cartes de paiement et d’autres éléments de voyage. Les autorités ont estimé que l’entreprise avait eu largement le temps et les moyens de mener des audits de sécurité en amont qui auraient pu éviter cette situation.

Un grand groupe hôtelier a également écopé de 110 millions d’euros d’amende pour un motif semblable. En 2020, les sanctions vont se multiplier en raison d’une volonté forte de faire comprendre à toutes les entreprises que les données de voyage ne sont pas anodines.

Les négligences au cœur du problème

L’importance des informations personnelles reste sous-estimée. Les données de voyages par exemple sont bien plus sensibles qu’il n’y paraît : à partir de la simple composition d’un repas, on peut déduire la religion d’un collaborateur, certaines caractéristiques liées à sa santé.

Organiser les bonnes pratiques

Plusieurs actions sont décrites comme indispensables au bon fonctionnement :

  • procéder au recensement des traitements de données et mener des audits sur ces derniers
  • évaluer les risques relatifs au non-respect de la confidentialité et analyser leur impact en cas de risque élevé
  • désigner un pilote de la conformité et responsabiliser tous les acteurs
  • sécuriser sur un plan technique l’organisation des données
  • veiller en permanence aux droits des personnes
  • documenter toutes les actions afin d’anticiper d’éventuels contrôles de la part des autorités

Retrouvez l’infographie !

 

Inscrivez-vous à la TraveldooNews

Pour connaître les dernières news du voyage d'affaires et des frais professionnels

Félicitations ! Vous êtes maintenant inscrit à notre Newsletter !

Subscribe toTraveldooNews

Receive the latest Business Travel and Expense news !

Congratulation! You are now registered to our newsletter!

icon sendNEWSLETTER