Veille juridique

RGPD : Quelles implications pour vous professionnels du tourisme ?

Qu’est ce que le RGPD
(Règlement Général sur la Protection des Données) ?

Une donnée personnelle, qu’est-ce que c’est ?

Une donnée personnelle, se réfère à toute information rattachée à une personne identifiée, ou bien identifiable grâce auxdites données. Il peut s’agir de données telles qu’un nom et un prénom, permettant donc une identification directe de la personne concernée, ou bien un numéro de téléphone, un numéro client, des critères génétiques, économiques, des marqueurs sociaux et culturels ou encore la voix ou bien l’image d’une personne, entraînant alors son identification indirecte.

De cette manière, une personne physique peut être identifiée à partir d’un croisement de plusieurs données – par exemple un homme résidant à telle adresse, client de tel magasin, né tel jour, dont le numéro de téléphone est le suivant et dont les cheveux sont marrons -, ou bien à partir d’une seule donnée comme son ADN ou son numéro de sécurité sociale.

Concrètement, dès lors qu’une base de données comprend une ou plusieurs informations précises permettant de remonter à une personne physique pouvant être identifiée via une ou plusieurs de ces informations, il s’agit bien de traitement de données personnelles.

Qu’est-ce que le traitement de données personnelles ?

La notion de traitement de données personnelles dans le cadre du RGPD s’entend également au sens large, le nouveau règlement européen le définissant comme une ou plusieurs opérations visant des données personnelles, et ce quel que soit le procédé utilisé : collecte directe de données, enregistrement, triage de données, mais aussi organisation, conservation, modification, transfert, utilisation, consultation, diffusion et toute autre forme de disposition de ces données. Le champ d’application est donc large, le traitement de données personnelles pouvant aller de la simple tenue d’un fichier clients, d’un fichier concernant des fournisseurs, d’une liste de mails pour une newsletter ou encore du répertoire de contacts d’un téléphone professionnel, etc.

Il est important de noter que le processus de traitement de données personnelles n’est pas forcément informatisé. En effet, les fichiers de type papier sont aussi soumis aux normes du RGPD et doivent en ce sens bénéficier des mêmes mesures de conservation et de protection des données personnelles.

Concernant le traitement de ces informations, le RGPD est clair : tout traitement de données doit avoir un objectif clairement défini. C’est-à-dire que chaque traitement de données doit servir un but bien précis, en accord avec l’activité professionnelle de l’organisme qui la réalise. Par exemple, collecter des données clients lors d’une livraison ou bien pour éditer une facture est un traitement de données personnelles légitime, ayant pour but la gestion d’une clientèle.

Qu’est-ce que le Règlement Général sur la Protection des Données ?

Ce nouveau règlement européen répond notamment aux évolutions technologiques de nos sociétés, à savoir le développement du commerce en ligne et l’explosion des réseaux sociaux et autres applications collectant nécessairement des données personnelles. En ce sens, le RGPD vient s’inscrire dans la continuité de la Loi française Informatique et Libertés de 1978, tout en permettant aux citoyens de mieux contrôler l’utilisation de leurs données personnelles.

Le RGPD : quelles sont les obligations ?

Le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, implique avant tout un devoir d’information auprès des utilisateurs concernés par le traitement de leurs données personnelles. En tant que responsable du traitement de ces données, ou bien en tant que sous-traitant, il convient de prendre les mesures nécessaires pour garantir une utilisation respectueuse de ces données, permettant la protection de la vie privée des personnes concernées, mais aussi de leurs droits à cet égard.

Pour ce faire, quelques règles fondamentales s’imposent :

  1. Avant tout processus de traitement de données, posez-vous les bonnes questions, à savoir : est-ce réellement nécessaire dans le cadre de mon activité ? Quelles sont les données indispensables et celles qui ne le sont pas ? Est-ce bien pertinent de collecter ces données et en ai-je le droit ? Les personnes concernées ont-elles étaient correctement informées et ont-elles explicitement donné leur accord ?
  2. Le RGPD implique une totale transparence quant à l’utilisation des données collectées. Les personnes faisant l’objet d’une collecte de données doivent pouvoir vous faire confiance.
  3. Vous devez être en mesure de répondre, dans les meilleurs délais, aux demandes des utilisateurs concernés quant à leurs droits de consultation, de rectification, de transmission, mais également de suppression définitive de leurs données.
  4. Votre société doit, après avoir identifié les risques, être en mesure d’assurer un partage et une circulation encadrés des données personnelles, afin de leur assurer une protection optimale, tout au long du processus de traitement. Des mesures spécifiques doivent être prises si les données concernées sont dites sensibles (relatives à des opinions politiques, une origine raciale, une orientation sexuelle, etc).
  5. Gardez bien à l’esprit que les mesures de sécurité doivent être adaptées en fonction des risques qui pèsent sur les personnes concernées en cas d’exploitation non consentie de leurs données personnelles. Ces mesures de sécurité, informatiques comme physiques, doivent permettre la totale sécurité de ces données à risque.

Source : https://donnees-rgpd.fr/definitions/rgpd-pour-les-nuls/

Implications concrètes :

Accès sécurisé au Wifi

La réglementation du WiFi public en France impose plusieurs règles à suivre afin de protéger l’établissement fournisseur ainsi que les clients eux-mêmes.

La législation s’articule autour de plusieurs points qui sont la sécurité des connexions à internet, la protection des données personnelles et l’usage responsable des réseaux WiFi publics. Plusieurs organismes travaillent conjointement sur le sujet du WiFi public : l’ARCEP, la CNIL et l’Hadopi.

La déclaration en tant qu’opérateur Wifi

Par « opérateur », on entend toute personne physique ou morale qui exploite un réseau de communications électroniques ouvert au public ou qui fournit au public un service de communications électroniques (art. L.32 du code des poste et des communications électroniques). 

La réglementation du WiFi impose d’effectuer une déclaration d’opérateur à l’ARCEP (Autorité de Régulation des Communications Electronique et des Postes) pour être reconnu officiellement comme établissement offrant un accès Wifi.

Dans le cas où il s’agit d’un « réseau interne ouvert au public », comme dans les hôtels, les gîtes ou chambres d’hôtes, ou d’un « réseau indépendant », dans une entreprise par exemple, l’obligation de déclaration n’est pas applicable.

Si vous souhaitez fournir une connexion WiFi gratuite à vos clients ou vos visiteurs, vous avez deux possibilités :

  • souscrire un abonnement auprès d’un opérateur WiFi comme , 2ISR, ou Noodo : les obligations légales évoquées par la suite ne vous concerne plus, c’est l’opérateur WiFi qui va en assumer la responsabilité
  • créer votre propre hotspot WiFi, vous déclarer en tant qu’opérateur WiFi (si applicable) et d’acquitter des taxes qui découlent de ce statut, respecter les obligations légales expliquées ci-dessous

Même si vous n’êtes pas concerné par la déclaration d’opérateur WiFi, l’article L34-1 du Code des Postes et des Communications électroniques stipule que « les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques ».

Quelles sont les obligations légales d’un opérateur wifi ou d’un établissement qui fournit un accès a internet ?

Législation WiFi public : ARCEP, CNIL, Hadopi

Authentifier les connexions au réseau sans fil par l’intermédiaire d’un portail captif

Pour se connecter à un WiFi public, l’utilisateur doit en premier lieu s’identifier et s’authentifier grâce à la création d’un compte ou en fournissant des données personnelles comme son adresse mail. De cette manière, il pourra être reconnu en fonction de son activité lors de sa connexion.

L’intérêt du portail captif n’est pas seulement d’être un panneau publicitaire pour l’établissement, il permet de tracer l’activité des utilisateurs (voir plus loin) en imposant un processus liminaire d’authentification.  La connexion à un point d’accès Wifi n’est donc pas anonyme, il est important de le rappeler.

Attention, si vous demandez une adresse e-mail pour s’authentifier sur le réseau WiFi de votre établissement et que vous souhaitez la réutiliser pour des démarches commerciales ensuite, vous devez également respecter la législation, en l’occurrence la loi du 6 janvier 1978 Informatique et Libertés. L’utilisateur doit accepter l’exploitation commerciale de son adresse e-mail.

Conserver les données techniques de connexion pendant un an

La traçabilité des accès et l’enregistrement de l’activité des utilisateurs sur votre accès WiFi est à appliquer pour respecter la loi du 23 janvier 2006 relative à la lutte anti-terroriste ainsi que la directive européenne du 15 mars 2006.

Les traces de connexion doivent être conservées pendant un an (fixé par le décret du 24 mars 2006), transmises à la CNIL (Commission Nationale de l’Informatique et des Libertés) et utilisées en cas de litiges avec la justice.

Attention à bien différencier données techniques (ou données de trafic) et données personnelles. Un opérateur WiFi ne doit en aucun cas enregistrer le contenu des communications effectuées par un utilisateur par l’intermédiaire de son hotspot WiFi.

Par données techniques, on entend (d’après le Décret n°2006-358 du 24 mars 2006, article R. 10-13 du CPCE) :

  • le terminal utilisé pour se connecter
  • la date, l’horaire et la durée des communications
  • les informations techniques (authentification avec le portail) pour identifier l’utilisateur par ses logs de connexion
    Attention, il ne s’agit pas d’un contrôle d’identité, seules les autorités sont qualifiées pour procéder à une identification en bonne et due forme
  • les informations techniques pour identifier les destinataires des communications

Ces données pourront être demandées par les autorités et notamment la police judiciaire ou spécialisée dans les activités terroristes. Refuser de communiquer ces données est punissable de 30 000€ d’amende.

Lutter contre le téléchargement illégal et la diffusion de contenus sensibles ou choquants

La législation WiFi est également liée à la loi Hadopi (loi « Création & Internet » du 12 juin 2009) pour la protection des droits d’auteurs et interdisant le téléchargement illégal. Cette loi précise que la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins illégales. Elle impose la sécurisation de la connexion sans fil et requiert donc :

  • un filtrage des accès P2P et des sites de téléchargement pour éviter toute activité illégale (la mise en place d’un pare-feu peut limiter ce genre d’activités)
  • un filtrage de contenu : les sites interdits par la réglementation comme les sites de pédophilie ou prônant un message terroriste doivent être bannis et bloqués d’accès pour vos clients.

Tous les professionnels utilisant le WiFi pour leur propre activité ou bien pour mettre internet à disposition de leurs clients sont concernés par cette politique de sécurisation imposée par la loi Hadopi.

Source : https://www.noodo-wifi.com/faq/legislation-acces-wifi-mesures-imposees/

Fiche de police pour les hébergements

La fiche de police est un questionnaire remis par l’hébergeur à ses occupants d’origine étrangère (y compris si elles résident au sein de l’UE ou en France).

Cette fiche doit être disponible pour les autorités policières dans
le cadre de la prévention des troubles à l’ordre public, d’enquêtes judiciaires et de recherche dans l’intérêt des personnes.

Souvent les plateformes de réservation collectent déjà ces informations, l’hébergeur en revanche a la responsabilité de s’assurer que les occupants sont conscients du cadre dans lequel ces données peuvent être exploitées.

Contenu de la fiche de police :

  • Nom et adresse de l’établissement :
  • Nom :
  • Prénoms :
  • Date et lieu de naissance :
  • Domicile habituel :
  • Nationalité :
  • Numéro de téléphone mobile :
  • Adresse électronique :
  • Date d’arrivée au sein de l’établissement :
  • Date de départ prévue :
  • Date et signature :

Les enfants de moins de 15 ans peuvent figurer sur la fiche d’un adulte qui les accompagne. Il convient alors de fournir les données suivantes :

  • Informations concernant l’enfant :
  • Nom :
  • Prénoms :
  • Date et lieu de naissance :
  • Domicile habituel :
  • Nationalité :

Toutes ces données doivent donc être collectées par l’hébergeur et conservées pendant 6 mois à compter de la date de fin du séjour afin de les remettre aux autorités compétentes si besoin.

L’hébergeur doit également s’assurer de respecter les dispositions de le RGPD en matière de protection des données personnelles et se garder de les transmettre à des tiers hors autorités compétentes sauf s’il s’est assuré du consentement de l’occupant.

Durée de conservation des données

En théorie, les données du type de celles figurant sur la fiche de police, à savoir les noms et coordonnées complètes des occupants d’un hébergements sont à conserver maximum 6 mois après la fin du séjour d’après le RGPD.

Chargée de communication web à l'Office de Tourisme

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *