Vous savez probablement déjà pourquoi le GDPR est si important pour les marketeurs du monde entier. C’est le plus grand changement dans la loi sur la protection des données depuis 1995 et il s’applique à chaque entreprise qui collecte, traite ou stocke toute donnée personnelle des citoyens de l’UE. Plus tôt, nous avons discuté que le GDPR est très difficile ; pour le secteur hôtelier en raison du grand volume de données personnelles sensibles et d’informations sur les cartes de crédit que les hôteliers collectent et traitent. L’utilisation de moteurs de réservation et de multiples points de paiement en ligne rend les hôtels vulnérables aux cyberattaques et aux violations de données.
Comme vous pouvez le voir, la nouvelle législation est très importante pour le secteur hôtelier et vous devez savoir exactement en quoi consiste le GDPR pour pouvoir vous préparer et vous mettre en conformité. Voyons les 7 principes du GDPR énumérés et expliqués ci-dessous.
1. Légalité, équité et transparence
Obtenir les données sur une base légale, laisser la personne pleinement informée et tenir parole.
Le concept de légalité stipule que tous les processus que vous avez qui, d’une manière ou d’une autre, concernent les données personnelles des citoyens de l’UE doivent répondre aux exigences décrites dans le GDPR. Cela inclut la collecte, le stockage et le traitement des données. La législation comporte des directives et des normes pour chaque étape de votre politique de gestion des données.
La loyauté signifie que vos actions – que vous soyez un contrôleur de données ou un processeur de données – doivent correspondre à la façon dont elles ont été décrites à la personne concernée. En termes simples, tenez la promesse que vous avez faite à votre client dans l’avis avant de collecter les données. N’utilisez les données personnelles qu’aux fins et pendant la période que vous avez indiquées.
Une notification claire est ce qu’est le concept de transparence. La personne concernée doit rester informée quant aux finalités, à la moyenne et à la durée du traitement des données. Vous devez faire savoir à vos clients ce que vous allez faire exactement de leurs données et qui y aura accès.
2. Limitation des finalités
Soyez précis
Comme nous l’avons dit précédemment dans le concept de loyauté, vous devez rester fidèle à votre promesse. Dans l’avis, entre autres choses, vous devez informer vos clients de la finalité de la collecte des données. Comme indiqué dans la législation, cette finalité doit être « spécifiée, explicite et légitime » Les données ne peuvent être collectées et utilisées que pour les finalités qui ont été transmises à la personne concernée et sur lesquelles le consentement a été reçu.
3. Minimisation des données
Collecter le minimum de données dont vous avez besoin
Le GDPR vise à ramener la collecte des données au minimum nécessaire. Les données personnelles à collecter doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées« . Notez qu’en vertu du GDPR, vous devrez effectivement justifier la quantité de données collectées, alors assurez-vous de concevoir une politique adéquate et de la documenter.
4. Exactitude
Stocker des données exactes et à jour
Les données personnelles doivent être « exactes et, si nécessaire, tenues à jour« . Vous devez veiller à ne pas conserver des contacts anciens et périmés et assurer l’effacement sans délai des données personnelles inexactes.
5. Limitations de stockage
Conserver les données pendant une période limitée nécessaire, puis les effacer
Ce principe concerne la Minimisation des données et stipule que les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire« . Vous devriez fixer la durée de conservation des données personnelles que vous collectez et justifier que cette durée est nécessaire à vos objectifs spécifiques. N’oubliez pas de la documenter. principes du rgpd
6. Intégrité et confidentialité
Assurer la sécurité
Le principe d’intégrité et de confidentialité exige que vous traitiez les données à caractère personnel « d’une manière [assurant] une sécurité appropriée« , ce qui inclut « la protection contre le traitement illicite ou la perte, la destruction ou les dommages accidentels« . Vous devez mettre en œuvre des systèmes d’anonymisation ou de pseudonymisation efficaces pour protéger l’identité de vos clients. Vous pouvez également envisager de travailler à l’obtention d’une certification officielle, telle que la norme ISO 27001, pour prouver votre engagement en matière de cybersécurité.
7. Responsabilité
Enregistrer et prouver la conformité. Assurez les politiques.
Vous êtes responsable de la conformité aux principes du GDPR. La nouvelle législation exige une documentation approfondie de toutes les politiques qui régissent la collecte et le cortège de données. Chaque étape de la gestion des données de votre hôtel doit être soigneusement formulée et justifiée sous la forme d’un document officiel. Dans le cadre de la nouvelle loi, vous devez être en mesure de démontrer les documents qui prouvent la conformité avec le GDPR lorsque les autorités le demandent.
Ce sont les 7 principes du règlement sur la protection des données et maintenant vous devriez avoir une assez bonne idée et compréhension de chacun d’entre eux. Cependant, le GDPR est beaucoup plus que ces principes, alors ne vous arrêtez pas ici et assurez-vous d’explorer davantage la loi à venir. Nous vous souhaitons bonne chance !