RGDP ... serez-vous prêt(e) le 25 mai ?

Depuis quelques semaines, vous entendez souvent parler de RGDP mais vous n'avez pas vraiment eu le temps de vous pencher sur le sujet. Pourtant, le 25 mai votre site internet devra être aux normes sous peine de sanctions importantes. Voici ce que vous devez faire en priorité ...

En tant que professionnel du tourisme, une grande partie de votre activité passe par internet et vous recueillez certainement beaucoup de données sur vos clients et prospects: quand quelqu'un remplit un formulaire de contact, finalise une réservation en ligne et communique son nom ... ou, tout simplement, quand votre site lui appose un simple cookie pour suivre sa navigation ...

Jusqu'à présent, vos obligations en la matière étaient assez limitées. Mais, à compter du 25 mai prochain - si votre site et votre business traitent avec des clients européens (autant dire que c'est votre cas partout dans le Monde) - vous devrez vous conformer à ce nouveau règlement. En cas d'infraction, des sanctions allant jusqu'à 4% de votre CA pourront être mises en recouvrement ... Evidemment, les pros du tourisme européen sont en première ligne !

RGDP ... kesako ?

Ce Règlement Général sur les Données Personnelles est émis par la Communauté Européenne pour protéger ses citoyens et prendra effet le 25 mai 2018. Bien qu'ancien, ce règlement trouve une acuité particulière en pleine affaire Facebook ... Il consiste à protéger toutes les personnes physiques européennes dès lors que leurs données personnelles auront été collectées par l'intermédiaire de votre site, de votre moteur de réservation ou encore via vos formulaires (y compris, ceux concernant l'envoi de vos newsletters).

Soyez donc très attentifs à ce sujet car, désormais, une donnée personnelle est toute donnée permettant d'identifier directement ou indirectement un individu. Par exemple, y compris si vous retenez l'adresse IP des personnes qui consultent votre site ou s'inscrivent à vos newsletters, sachez qu'il s'agit d'une donnée personnelle.

Lire aussi:
Le document officiel de la Communauté Européenne sur le RGDP

Que devez-vous prévoir ?

Désormais, si vous continuez de collecter des données sur vos prospects, les visiteurs de votre site ou vos clients, vous devez expliquer clairement sur votre site à quoi ces données seront utilisées et vous devrez veiller à obtenir le consentement explicite des personnes concernées. Enfin, sachez que vous devrez veiller à donner la possibilité à ces personnes de révoquer ce consentement le plus simplement et le plus facilement du monde ... et que vous devrez aussi communiquer, à tout demandeur, la liste des usages que vous avez faits de ses données. Sachez, enfin, que ces obligations vous concernent dès lors que vos fichiers concernent des personnes physiques établies en Europe (ces obligations s'appliquent donc à toutes les entreprises mondiales qui "traitent" avec des clients européens).

Vos obligations à compter du 25 mai

1. Assurez-vous que vos fournisseurs et partenaires technologiques avec lesquels vous partagez les données personnelles de vos contacts (comme votre expéditeur de newsletters par exemple) respectent aussi les obligations du RGDP. Sachez que, en toute finalité, vous êtes juridiquement responsable du "mauvais" usage qui serait fait de ces données même s'il s'agissait d'erreurs résultant de votre fournisseur technologique.
2. Assurez-vous que les données personnelles de vos contacts sont bien conservées et régulièrement mises à jour. Dès lors qu'elles vieillissent un peu trop longtemps dans vos bases sans enrichissement, supprimez-les !
3. Tenez-vous en à un minimum d'informations collectées sur vos contacts; en l'occurrence, juste ce qui est nécessaire pour l'usage que vous avez préalablement annoncé à vos contacts (noms, prénoms et e-mail pour des newsletters par exemple ...). Il va de soi que si vous collectez des données pour fidéliser vos clients, vous devrez leur indiquer que vous enregistrez d'autres informations comme les réservations effectuées chez vous, leur montant, les participants, etc ...
4. Enfin, préparez-vous à donner suite au "Droit d'oubli" que pourraient vous manifester vos contacts; à savoir, obtenir de votre part un état précis (et lisible dans un format accessible) de l'usage que vous avez fait de leurs données et, surtout, l'effacement immédiat de leurs données dans votre base dès que ces derniers vous le réclameront.

Quelles modifications apporter à votre site internet ?

1. Actualisez les "termes et conditions d'usage de votre site" en précisant quel usage vous comptez faire des données collectées sur votre site; qu'il s'agisse de cookies (à des fins de publicités en ligne; retargeting) ou de leur adresse e-mail (pour leur envoyer des campagnes, créer des audiences similaires sur Facebook, etc ... Précisez aussi combien de temps vous comptez conserver et exploiter leurs données; en général, vous devrez les effacer une à deux fois par an.

La création d'audiences similaires sur Facebook en partant des données personnelles de vos clients doit être clairement déclarée sur votre site.

2. Sécurisez votre site internet
   Assurez-vous que votre site dipose bien d'un certificat SSL (Secure Sockets Layer). On le reconnaît à la présence d'un petit cadenas dans la barre de votre navigateur. Cette sécurité supplémentaire permettra d'indiquer à vos contacts que votre site reste sécure au moment où ces derniers vous communiquent leurs coordonnées et qu'elles ne risquent pas d'être hackées au moment de leur enregistrement ...

Désormais, les sites en https seront obligatoires pour se conformer au RGDP.

Par ailleurs, n'oubliez pas qu'un site entièrement en mode SSL sera mieux référencé par Google à compter de l'été prochain.

3. Rendez vos cookies digestes ...
   Non, on ne parle pas de gateaux mais de ces petites balises invisibles que votre site - si c'est le cas - positionne dans le navigateur de vos visiteurs pour les suivre à la trace et leur proposer, plus tard, des publicités qui comme par enchantement leurs parlent de votre entreprise touristique même lorsqu'ils partent acheter des chaussures ailleurs ... ==Veillez donc à ce que votre site affiche clairement le fait que vous utilisez des cookies et faites en sorte que le client ait le droit de les refuser très facilement ... ==

Ci-dessus, le site de la maison d'hôtes Les Boudines affiche systématiquement le bandeau d'accord préalable à l'usage des cookies.

Veillez à ce que - si vous utilisez des cases à cocher - ces dernières ne soient pas pré-cochées sur "Oui" ou "OK". Soit vous les cochez directement sur "Non", soit vous faites en sorte qu'elles ne soient pas cochées et que le client décide personnellement de son choix.

4. Pour les "mailing lists" aussi ...
   Faites-en de même en ce qui concerne les formulaires d'inscription à vos newsletters : pas de pré-coche du "Oui" (éventuellement, pour le "Non") ! Dans le document de présentation de votre politique sur les données personnelles, précisez exactement ce que vous comptez faire de leurs e-mails. S'il s'agit de ne leur envoyer que des newsletters, dites-le. Mais s'il s'agit d'utiliser leurs e-mails pour construire des "audiences similaires" sur Facebook, par exemple, vous devez l'indiquer également...
   Sur ce point, les nouvelles contraintes sont très claires: vous devez être le plus précis possible ! Dans le cas où vous déclareriez que ces adresses vont servir à créer des "audiences similaires", vous devrez préciser sur quel portail (facebook, instagram ...) vous comptez les utiliser. Et de préciser une ligne et un choix pour chaque tierce-partie au sein desquelles vos données seront aussi exploitées. Ce n'est qu'à ce prix que votre site sera en conformité avec le nouveau règlement.
   Pour faire simple, n'hésitez pas à créer une page spéciale sur votre site pour expliciter toutes ces informations".
5. Un nouveau formulaire sur votre site
   Ce lien ou ce formulaire devra permettre aux personnes concernées de vous contacter directement pour avoir accès aux données entreposées sur elles (dans votre système) et pour vous demander, le cas échéant, de les supprimer définitivement.

Des changements dans votre organisation aussi

Une fois que vous aurez procédé à tous ces changements, vous devrez aussi clarifier ces points dans votre organisation interne:

• Assurez-vous de mettre à jour ou de supprimer régulièrement les informations concernant vos contacts dans votre base de données. Le nouveau règlement ne donne pas d'ordre de grandeur mais les spécialistes estiment que cette opération devrait être conduite par vous 1 à 2 fois par an,
• Indiquez qui, dans votre société, accède à ces données et qui en est responsable. Veillez à tenir à jour une liste précise de qui fait quoi sur votre base de données et assurez-vous de tenir cette information en haute sécurité.

Voilà, vous savez à peu près tout sur cette nouvelle règlementation et les dispositions à prendre sur votre site et dans vos différents formulaires et bases de données. D'ici quelques mois, nous vous ferons un point précis sur les meilleures pratiques en la matière et les premiers retous d'expérience des pros du tourisme.