Retrouvez l'actualité du Tourisme pour les professionnels du secteur tourisme avec l'Echo Touristique : agences de voyages, GDS, prestataires spécialisés, voyagistes

Elyes Mrad (Amex GBT) : « Sans partager ses données personnelles, un voyageur n’ira pas très loin »

C’est aujourd’hui qu’entre en vigueur le nouveau Règlement général pour la protection des données (RGPD), une nouvelle donne qui a un impact très fort sur l’industrie du voyage, loisirs comme affaires. Le point avec Elyes Mrad, Senior Vice-président et Managing Director International chez American Express Global Business Travel, qui a adressé à L’Echo touristique son analyse.

Pour les entreprises, la gestion des données personnelles des employés est un problème critique car si ces données sont essentielles à la bonne marche de l’activité de l’entreprise, elles n’en restent pas moins des données personnelles pour chaque individu. Cette gestion s’insère dans un écosystème complexe déjà réglementé par la directive de l’UE de 1995 et qui connaît un nouveau bouleversement avec la mise en place du RGPD (Règlement Général pour la Protection des Données) qui vient incarner l’évolution de ces règles et en codifier les bonnes pratiques. Pour comprendre cette évolution, l’industrie du voyage en est un exemple très significatif, la collecte des données étant nécessaire à la réservation et au bon déroulement d’un déplacement. Mais prenons un peu de recul, de quelles données parle-t-on et comment sont-elles gérées pour protéger au mieux la vie privée des voyageurs ?

Quelles données et quel consentement ?

Sans partager ses données personnelles, un voyageur n’ira pas très loin de chez lui. Pour organiser au mieux son voyage et faciliter sa fluidité et son confort, il va devoir transmettre son numéro de passeport, sa date de naissance mais aussi ses préférences alimentaires ou encore certains détails de santé comme par exemple un handicap. Ces données, qui relèvent de l’article 9 du RGPD sous l’appellation catégories spéciales, « révèle[nt] l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale (…) des données concernant la santé (…) » et sont par là-même définies comme sensibles.

Ces catégories spéciales de données personnelles imposent aux entreprises qui les traitent d’obtenir le consentement formel de l’individu avant de les utiliser. Imaginez demander ce consentement à chaque voyageur pour chaque voyage qu’il va faire durant l’année… une gestion compliquée et redondante autant pour l’organisateur que pour le voyageur. C’est pourquoi, dans le cadre de l’organisation d’un voyage, une demande explicite de produits ou services de la part du voyageur, et qui reposerait sur la récupération de certaines de ces données, serait alors considérée comme équivalente à un consentement explicite.

Quelles responsabilités ?

Une fois ces données partagées par le voyageur, elles peuvent transiter de l’outil de réservation en ligne à la compagnie de gestion de voyage (TMC), du système global de distribution (GDS) au fournisseur de voyage, avec beaucoup de sous-traitants entre les deux.

Mais qui est responsable si, quelque part entre la réservation et l’embarquement, les données sont mal utilisées ou enfreintes ? La loi sur la protection des données divise les organisations en contrôleurs – organisations directement responsables des données; et les processeurs – les sous-traitants qui traitent les données pour le compte d’un contrôleur. Mais les voyages sont complexes et les participants peuvent être en désaccord sur leur rôle, la mise en conformité au RGPD devrait régler ces questions.

Le statut de contrôleur des agences représente un véritable atout pour les voyageurs qui vont bénéficier d’un programme de protection de la vie privée avantageux. Nous engageons notre responsabilité (aussi bien légale que morale) en termes de conformité juridique. (…) Nous avons choisi d’aller au-delà des règles RGPD devant l’importance primordiale de la gestion des données qui nous sont confiées.

Confidentialité dès la conception

Avec le RGPD, les entreprises doivent intégrer un système de protection des données dès leur conception et par défaut. Cette pratique implique que l’équipe de protection de la vie privée travaille en étroite collaboration avec les responsables des produits et les équipes de développeurs. Cette collaboration permet d’identifier les risques, de suggérer des contrôles et d’intégrer directement les notifications et la transparence dans nos outils.

L’enjeu du 25 mai, jour de l’entrée en vigueur du RGPD, n’est pas de se conformer à la loi mais de rappeler que notre responsabilité est de prendre soin des voyageurs, et que cela commence avant tout par assurer la sécurité de leurs données.

Dans la même rubrique

Les commentaires sont fermés.