RGPD : des impacts forts sur les activités Travel & Mice
Dans un contexte d'accroissement des offres technologiques et de multiplicité des acteurs amenés à manipuler les données des voyageurs d'affaires, la plus grande vigilance est nécessaire quant au respect des normes imposées par le RGPD.
Je m'abonnePrès d'un an et demi après son entrée en vigueur, le RGPD (Règlement général pour la protection des données) a d'ores et déjà bouleversé les pratiques. Et le voyage d'affaires, directement concerné par l'adoption de nombreux outils technologiques, ne fait pas exception. C'est ce qu'ont souligné les intervenants lors du Carrefour des Experts GBTA qui s'est tenu il y a quelques jours au salon IFTM à Paris.
Plusieurs acteurs majeurs du secteur ont appris à leurs dépens l'importance de prendre cette question très au sérieux et le coût que peuvent représenter les négligences. British Airways a récemment été condamné à une sanction de 200 millions d'euros, en raison d'incidents de sécurité concernant 500 000 usagers et portant sur des données de cartes de paiement et d'autres détails de voyage. Les autorités ont estimé que l'entreprise avait largement le temps et les moyens de mener des audits de sécurité en amont qui auraient pu éviter cette situation.
Il en va de même pour Marriott International qui a écopé de 110 millions d'euros d'amende pour un motif similaire. Là encore, les négligences ont été fatales au groupe hôtelier. "Il faut s'attendre en 2020 à des sanctions qui vont se multiplier, car il y a une volonté forte de faire comprendre à toutes les entreprises que les données de voyage ne sont pas du tout anodines", estime Matthieu Camus, président fondateur de la société Privacy Impact, spécialisée dans l'accompagnement pour la maîtrise de la technologie et la réglementation.
Des mesures indispensables
Les grandes étapes qui conduisent à une application en bonne et due forme de la réglementation européenne sont dès lors d'une importance cruciale. Désigner un pilote de la conformité est une première initiative indispensable. Le recensement des traitements de données, les audits portant sur ces traitements, leur sécurisation sur un plan technique forment d'autres points essentiels. " Il ne faut pas non plus omettre de responsabiliser tous les acteurs, se préparer dans ce sens, veiller en permanence aux droits des personnes, et surtout documenter toutes les actions, ce qui essentiel en cas de contrôles de la part des autorités ", ajoute Matthieu Camus.
En parallèle, une évaluation des risques s'avère pertinent sur tout type de traitement de données à caractères personnel. Celle-ci doit concerner le niveau de sécurité relatif au traitement, l'analyse d'impact en cas de risque élevé pour les droits et libertés des personnes. Par exemple, dans un cas de données relatives aux éventuelles allergies concernant un voyageur d'affaires, les conséquences peuvent être particulièrement graves.
Pour Sébastien Prolicent, cofondateur de la société Prolicent, spécialisée dans l'accompagnement en matière de gestion de la protection de données, l'un des grands problèmes actuels est que l'importance des informations personnelles est sous-estimée : "Les données de voyages par exemple, pour ne prendre que celles-là, sont beaucoup plus sensibles que ce qu'on peut penser. A partir de la simple composition d'un repas, on peut déduire la religion de la personne, ou certaines caractéristiques liées à sa santé."