Conformité RGPD pour Hôtels, Restaurants, PMS, OTA ou Channel managers

Comment mettre votre hôtel en conformité RGPD ?

Vous êtes propriétaire, gérant, DRH, juriste ou DPO d’hôtel? Datadiem vous propose une formation RGPD sur mesure pour mettre votre hôtel en conformité avec le Règlement Général sur la Protection des Données. Gérer les données personnelles de vos propres employés ou des clients de votre établissement d’hébergement effectuant une réservation sur votre site, sur la page de réservation externe de votre PMS (moteur de réservation) ou via un OTA, des personnes filmées par la vidéosurveillance de votre établissement, etc.

De plus, le marketing est aujourd’hui en partie bouleversé par les nouvelles règles introduites par le RGPD. Ainsi, les hôtels qui recourent particulièrement au marketing digital doivent modifier en profondeur leurs procédures. Dans ce sens, Datadiem a conçu une formation réservée exclusivement au équipes marketing et revenue managers de l’hôtellerie. L’objectif et de parcourir les techniques marketing devant être abandonnées d’une part, modifiées ou intégrées d’autre part afin de mettre votre hôtel en conformité RGPD. Au-delà de l’hôtelier et autre professionnel de l’hébergement et du tourisme, cette formation est également particulièrement adaptée aux activités connexes de l’accueil, et s’adresse ainsi au cafetier, restaurateur et propriétaire de discothèque.

Nous vous aidons à mettre en place dès aujourd’hui les procédures organisationnelles, techniques et légales afin de minimiser les risques de sanctions financières et nouvelles sanctions pénales prévues par le RGPD à l’encontre du dirigeant.

8 septembre 2018 / Détection d’une faille de sécurité de la chaîne d’hôtels Marriott: Étendue du défaut de conformité RGPD > 500 millions de clients concernés, amende potentielle > jusqu’à 4% de leur chiffre d’affaires mondial.

Objectifs

Comprendre les enjeux de la mise en conformité GDPR appliquée au secteur de l’hôtellerie. Cela comprend les activités spécifiques liées à la gestion des réservations de chambres ou lits (pour les auberges de jeunesses) mais également aux activités connexes telles que la restauration, les ventes additionnelles (visites, ateliers, etc.) ou encore la location de salles de séminaires et plus récemment d’espaces de travail de type wework.

Vulgariser les exigences du GDPR spécifiques à la collecte des clients et au traitement de leurs données personnelles. L’objectif est de permettre aux gérants, directeurs et managers d’hôtels d’y répondre en toute sérénité, depuis la phase de promotion des chambres, en passant par la réservation puis le suivi et la fidélisation des clients de l’établissement.

Obtenir des solutions concrètes selon votre type d’établissement (hôtel, auberge de jeunesse, chambre d’hôte, maison de retraite, bateau de croisière) et type d’activité, immédiatement applicables au sein de l’établissement par le manager mais également chacun des réceptionnistes, revenue manager, DRH, serveurs, techniciens de nettoyage, avec pour objectif de mettre votre hôtel en conformité RGPD.

Construire une feuille de route RGPD adaptée au secteur de l’hospitalité, avec des solutions applicables par étapes et dans le respect des possibilité de votre établissement en termes de charge financière et de restructuration des procédures.

Optimiser la valorisation de votre société (aux yeux d’investisseurs ou en cas de cession) avec un capital de données dites propres.

Minimiser les risques de litiges particulièrement nombreux potentiellement compte tenu de l’importance du nombre de clients prospects ou réels journaliers et de la nature des données personnelles sensibles collectées lors d’une réservation (données bancaires, passeport, identité, parfois données médicales), de sanctions financières pour la société, de mise en jeu de la responsabilité pénale du propriétaire ou dirigeant de l’hôtel ou autre forme d’établissement.

Avantages

Minimisation des risques d’amendes venant sanctionner des irrégularités ainsi que les risques de responsabilité pénale du propriétaire/dirigeant. Augmentation de la valorisation de la société selon son degré de conformité avec la législation sur la protection des données personnelles.

Augmentation du sentiment de confiance des clients existants ainsi que des clients potentiels. Avantage déterminant par rapport aux entités concurrentes.

Acquisition des principes et des exigences du gdpr analysés et replacés dans le contexte de votre activité. Se démarquant ainsi des autres formations offertes sur le marché de la conformité, les formations Datadiem vous apportent des solutions adaptées à votre activité, tant sur le plan technique que sur le plan organisationnel.

Qu’allez vous apprendre?

La formation comporte les modules suivants

Les acteurs de la conformity RGPD dans votre domaine

les relais du DPO au sein de votre établissement sont les personnes qui de part leur fonction clé vont permettre au délégué à la protection des données de l’hôtel de mettre en oeuvre la feuille de route de conformité RGPD. Ces personnes vont permettre de propager au sein de la société les recommandations du DPO, d’organiser des formations et des séances de sensibilisation. Dans le sens invers, elle vont  permettre de remonter les informations essentielles vers le DPO, par exemple lors de la création des fiches de registre ou encore de l’audit des procédures déjà existantes. Enfin, elles vont participer de façon effective à l’implémentation des solutions techniques auprès des différents responsables. Les relais du DPO au sein d’un hôtel sont souvent le DRH, le directeur juridique, le responsable des systèmes informatiques, le manager de l’établissement.

Les fournisseurs de services et sous traitants sont des acteurs ou plutôt des maillons importants dans la chaîne du projet de mise en conformité GDPR de l’hôtel. Il s’agit de votre éditeur de logiciel pour l’hôtellerie Property Management System, fournisseur CRM, logiciels de relation client, hébergeur, logiciel de gestion de paie des salariés, de votre système de gestion des commentaires de vos client lors de leur séjour et de leur fidélisation, des solutions de tracking sur le site internet de votre hôtel, sans oublier votre fournisseur de solution de gestion des données personnelles (de type cartographie des données, tenue de registre et DPIA).

Le délégué à la protection des données DPO qui est le maître d’oeuvre du projet de mise en conformité RGPD.

L’autorité de contrôle des données personnelles telle que la CNIL en France.

Points de collecte de données personnelles

La multitudes des points de collecte des données personnelles des clients accroît le risque de mise en jeu de la responsabilité du responsable de traitement. L’établissement d’une liste de ces points de collectes permet d’avoir rapidement un aperçu de l’amplitude des différentes catégories de données collectées et peut constituer une première étape vers l’édition de la cartographie.

Dans le cadre de la gestion des réservations, de la prospection des clients et de leur fidélisation, un établissement hôtelier va recourir à plusieurs outils directement ou par l’intermédiaire de sous-traitants.

  • Pour la réservation en ligne un premier point de collecte est mis en place généralement sur la page d’accueil du site de l’hôtel, il s’agit du formulaire de réservation de type « date d’arrivée », « date de départ », « nombre de personnes ».
  • Une fois une réservation effectuée auprès d’un OTA, l’hôtel va tenter de récupérer des informations auprès du client en l’invitant à effectuer un « pre checkin » (pré-enregistrement sur le modèle des réservations des compagnies aériennes), car l’OTA de son côté a intérêt à ne transmettre que les informations strictement nécessaires à l’hôtel. Ce second point de collecte est généralement mis en place sur l’une des pages du site internet de l’hôtel.
  • Autre exemple de point de collecte, le module de commentaires et d’avis proposé au client afin d’anticiper la fidélisation de ce dernier en fonction de ses centres d’intérêts et des améliorations à apporter lors de son éventuel prochain séjour.

Bien entendu la liste des point de collecte est d’autant plus longue que l’établissement investit dans le marketing et technique de promotion, rétention et fidélisation de la clientèle. Chaque point de collecte des données personnelles implique de prévoir sa conformité dès sa conception et par défaut (privacy by design and by default).

Principes clés du RGPD appliqués votre secteur

Il n’est pas utile d’explorer ni même de survoler ici la liste des principes qui ont été précisés et cristallisés au sein du Règlement RGPD. Il est plutôt pertinent d’indiquer que les principes clés du RGPD sont abordés sous le prisme des nouvelles obligations légales mis en concurrence avec la réalité de l’exercice de d’activité de l’hôtelier.

Les Droits des personnes, la gestion des réclamations et des failles

Exercice des droits des individus auprès des établissements: droits des clients, droits des employés, cas réels de mis en demeure de conformité et de sanctions dans votre secteur.Gestion des rapports de failles de sécurités. Les sanctions encourues et leurs répercussions.

Solutions pratiques

  • Editer une cartographie des données personnelles (avec spécificités pour les groupes également).
  • Réaliser la transformation digitale.
  • Construire une architecture web adaptée aux besoins et conforme à votre feuille de route de mise en conformité GDPR.
  • Sécuriser les données personnelles.
  • Encadrer les transferts transfrontaliers des données personnelles notamment des clients.
  • Réaliser une étude d’impact DPIA selon des scénarios prévisibles pour votre activité.
  • Répertorier puis prévoir la transmission des rapports de failles de sécurité des données auprès de l’autorité (ex: CNIL).

Responsable de traitement et sous-traitant

Comprendre la double casquette de responsable de traitement et sous-traitant.Anticiper pour mieux limiter vos responsabilités dans chacun des cas.Renégocier les contrats afin de minimiser les risques de mise en jeu de responsabilité en cascade.

Délégué à la protection des données DPO

Connaissances juridiques accrues idéalement sanctionnées par un diplôme de juriste ou idéalement un certificat d’aptitude à la profession d’avocat (CAPA).

Connaissances techniques: Compréhension des solutions techniques disponibles et préconisées pour répondre aux exigences du GDPR et concrètement applicable au secteur hôtelier.

Gérer un contrôle de la CNIL

Mieux vaut être préparer à un contrôle de la CNIL le jour où un agent se présente à l’accueil de votre établissement afin d’effectuer des vérifications. Quelle est la personne désignée et préparée à accueillir un agent de la CNIL au sein de l’hôtel? Quels sont les documents qui seront exigés? Quels sont les points sur lesquels les contrôleurs vont particulièrement être attentifs?

Le DRH et les données personnelles des employees

Évaluer les risques liés au traitement des données personnelles des employés de l’hotel et maîtriser les risques de litiges.

Planifier le budget

Anticiper les coût des différents outils et prestations de la mise en conformité avec le GDPR n’est pas forcément aisé. La multiplicité des prestataires accessibles sur internet n’offre généralement que très peu de lisibilité sur le coût envisageable pour une mission de mise en conformité. Ce constat s’explique par la difficulté du prestataire de pouvoir évaluer avec justesse l’étendue des futures recommandations et de leur priorisation avant d’avoir effectué un travail important d’évaluation des écarts de la société avec le RGPD.

Datadiem vous aide à comprendre la logique d’élaboration d’une feuille de route de mise en conformité avec le RGPD et des étapes de réalisation des recommandations, ceci afin de vous permettre d’appréhender un devis de conformité et de prévoir le budget annuel devant être consacré à cette fin

Public concerné

Les formations GDPR de Datadiem sont modulable en fonction de l’audience, certains thèmes particulièrement relevant pour les cadres d’une entreprise seront totalement inappropriés pour les employés et inversement (Par exemple la gestion des donnés personnelles des employés sera réservée aux RH et équipes dirigeantes). Nos formations sont particulièrement adaptées au DPO RGPD (avec ou sans certification RGPD).

Management

Les propriétaires de société, directeurs ou gérants devant comprendre les enjeux du GDPR et les solutions à envisager pour leur activité.Les employés ayant des responsabilités importantes au sein de la société (organisationnelles ou techniques) ou ayant pour mission de former ou diriger d’autres employés.

Marketing

Les départements marketing ainsi que leurs prestataires ont désormais recours à des technologies digitales sophistiquées. La collecte, le tracking, le partage et la rétention des données personnelles des clients sont devenus des enjeux cruciaux, des préoccupations au coeur de chaque nouvelle stratégie marketing. Une équipe marketing ne peut faire l’impasse d’une connaissance approfondie des principes consacrés par le RGPD, ainsi que des moyens disponibles et envisageables afin de maintenir une conformité du traitement des données avec le RGPD. Chacun des outils auxquels ont recours les sociétés doivent être analysés sous l’angle des critères fixés par le RGPD.

Formulaires de contact ou d’inscription, newsletter, solutions de tracking de type Analytics ou Hotjar, CRM, Visiteur et utilisateur connecté de plateformes web ou application: chaque outil doit répondre en tous points aux exigences essentielles telles que la minimisation des données, la maîtrise des flux notamment hors des pays de l’union européenne ou des pays adéquats, ect. La formation Datadiem aborde tous les aspects RGPD liés au marketing avec pour soucis de délivrer des connaissances concrètes, immédiatement applicables par vos équipes en fonction des outils mis en place.

Juridique

La mise en conformité avec le RGPD exige une connaissance approfondie du texte du Règlement ainsi que du contexte juridique dans lequel il s’inscrit (législations connexes, législations nationales et territoriales). La révision des contrats notamment avec les sous-traitants, l’élaboration de DPA (Data Processing Agreement), la validation de la base légale de la collecte et du traitement des données, l’exercice des droits des individus, tous ces sujets pris en exemple impliquent de maîtriser les principes juridiques et leur application au regard des sanctions et de la jurisprudence.

La feuille de route, document central de tout projet de mise en conformité RGPD, requiert un travail d’évaluation des risques dont va dépendre la priorisation d’implémentation des risques. Une catégorisation et hiérarchisation des risques efficace exige de connaître les risques juridiques auxquels une société s’expose.

Ressources humaines

Les professionnels de l’hôtellerie sont unanimes sur un point, de nos jours le recrutement relève du défis. La mobilité s’accélère et l’esprit de carrière « maison » semble bien loin. En conséquences, le DRH multiplie les entretiens à intervalles de plus en plus rapprochés, « il n’est pas rare que les réceptionnistes ne restent que quelques mois au sein de l’établissement », les managers quant à eux restent en moyenne 2 ans. Devant ce constat, la gestion des données personnelles au sein d’un établissement hôtelier devient une préoccupation constante notamment depuis l’entrée en vigueur du RGPD.

Les directeurs de ressources humaines reconnaissent volontiers que la collecte des données des employés s’intensifie en quantité et en diversité. En effet l’effet « turnover » du personnel implique, au delà de la masse de CV collectés et traités, de devoir répondre à de nouvelles problématiques comme par exemple l’investissement en formation automatisé d’un personnel en perpétuel renouvellement. Les DRH n’ont plus ni le temps ni la motivation d’organiser des formations réelles,

La formation Datadiem pour une conformité RGPD des hôtels explore l’ensemble des nouvelles contraintes de protections des données personnelles qui s’exercent sur les DRH du secteur de l’hospitalité et du tourisme: données personnelles liées au recrutement, à la formation, à la gestion des salaires et fiches de paye ou encore des arrêts maladies. Pour chacune de ces catégorie, votre établissement doit être capable de répondre aux exigences des principes posés par le RGPD: stockage, minimisation, sécurité, base légale, conformité de vos sou-traitants, etc.

L’une des particularités liée à la gestion des données personnelles des employés tient au fait que la relation employeur/employé constitue en soi un terreau propice au contentieux au regard du droit du travail. Il est fort à parier que ce contexte particulier encourage le sujet de la collecte des données, l’employé, à lever la carte RGPD devant le juge lors d’une relation conflictuelle avec son employeur. Datadiem vous accompagne dans la gestion préventive et la minimisation du risque contentieux lié à l’exercice des droits de vos employés liés aux obligations prévues par le RGPD.

Prérequis

Cette formation est réservé à des professionnels du secteur ayant une connaissance et une expérience de l’activité au sein d’un établissement.

Le cours comprend

  • Un slider de présentation partagé avec les participants (format pdf).
  • Un document des principaux articles évoqués lors de la formation.
  • La législation.
  • Une attestation de présence à la formation.

Avis des clients

Aborder le sujet de la mise en conformité sous l’angle de l’activité réelle et quotidienne des équipes de l’établissement a permis de mettre immédiatement tous les employés à l’aise dès le début. Malgré le niveau de complexité de la mise en conformité avec le GDPR, les formateurs ont su rendre le sujet concrêt pour chacun des employés, en utilisant le même langage métier et en se référant à des situations auxquelles nous sommes quotidiennement confrontés.

Intervenant

DPO certifié CIPP/E (Certified Information Privacy Professional/Europe) par l’Association Internationale des Professionnels de la Protection des données IAPP,
Certificat d’Aptitude à la Profession d’Avocat
LLM international Business Law – Bristol University
Membre de l’Association Française des Correspondants à la protection des Données à caractère Personnel AFCDP

Examen

Les participants sont évalués de façon ludique à plusieurs étapes de la formation ceci afin de marquer leurs esprits au sujet de recommandations importantes tout en s’entraînant pour aborder l’examen final sereinement. A la fin un examen formel de 60 minutes permettra d’évaluer chaque participant de façon formelle.

Format

L’examen est proposé sous forme de 60 questions à choix multiples accessibles directement depuis une tablette ou un simple smartphone.

Langues disponibles

  • Français
  • Anglais

Résultats

Les résultats seront disponibles immédiatement à la fin de l’évaluation.Le client administrateur a accès à un rapport complet de l’examen.

Certification

Un certificat Datadiem sera délivré sous 15 jours directement à tout candidat ayant atteint un score de 75% (sous format électronique).Il n’existe pas à l’heure actuelle de certification officiellement reconnue par les autorités de régulation de protection des données.Le certificat délivré par Datadiem s’inscrit dans le cadre de l’obligation de formation prévue par le GDPR.

E-learning

Un code d’accès personnel à votre espace e-Formation permettant aux participants de revenir sur des notions clés.

Alimentation & Boissons

Un coin rafraîchissement (café, thé, biscuits, etc.) est mis à votre disposition.

Retour en haut