RGPD : pas de panique Apidae s’occupe de tout !

Publié le

A moins d’habiter depuis 6 mois au fond d’une grotte, alimenté uniquement par les corbeaux, vous avez dû entendre parler du RGPD (le Règlement Général pour la Protection des Données).

Cette loi a fait couler beaucoup d’encre et un peu paniqué le monde du marketing et de la relation client, car les sanctions affichées ne sont pas anodines (jusqu’à 3 millions d’€). Elle rentre en application le 25 mai prochain.

Pourtant, il est important de se remettre dans l’esprit de la loi : elle a pour vocation de redonner le pouvoir aux individus quant à l’usage qui est fait de leurs données personnelles (téléphone, âge, profil des achats, cookies de navigation …). C’est pour cela qu’il est demandé à chaque gestionnaire de base de données :

  • d’être en capacité de tracer tous les usages qui sont fait de ces données,
  • d’en rendre compte à chaque personne qui en ferait la demande.

Alors, quel impact pour les offices de tourisme et autres membres du réseau Apidae ?

 

La démarche est enclenchée

A très court terme, pas de quoi s’affoler ! Les grands consommateurs de données personnelles (GAFA, plateformes de vente en ligne, sociétés et outils de tracking …) sont les premiers visés lorsque l’on parle de protection des données.

Au sein des Offices de Tourisme, nous gérons trois grand types de données :

  • celles sur les clients (dans les CRM, les outils de réservation, sur les sites web) - qui sont au cœur du sujet du RGPD,
  • celles sur l’offre touristique (dans Apidae),
  • et celles sur les salariés des structures (données RH).

Concernant Apidae, puisque nous gérons ces données de façon collaborative, nous allons vous proposer une démarche collective.

Notre première démarche, comme le veut la loi, a été de nommer un DPO (Data Protect Officer) : son rôle est de piloter la démarche sur le périmètre concerné par la base Apidae.
Il s'agit de Claudia Peteau, responsable Partenariats et diffusion au sein du réseau.

Nous avons ensuite lancé un audit préalable (en cours) pour se mettre en conformité avec la loi. Cette mise en conformité est, dans un premier temps, limitée aux traitements des données gérées dans la base, c'est à dire les informations portées par les objets touristiques et les comptes utilisateurs.

 

Le livrable attendu

Prévu en juin, le livrable de cet audit est la rédaction d’un plan de mise en conformité pour répondre aux obligations de la loi.

Compte tenu de notre organisation collaborative, nous serons tout particulièrement vigilants à l’analyse de la répartition des responsabilités pour le traitement des données (y compris avec les sous-traitants) et aux mécanismes d’informations de vos pro (à utiliser lors de la récolte des données touristiques).

Nous mettrons également en place un registre des traitements que vous pourrez reprendre à votre compte.

Nous devrons aussi, sans aucun doute, faire évoluer la charte de réseau, signée par tous les membres contributeurs, et qui traite de la gouvernance et de la responsabilité des données gérées dans la base.

Nous reviendrons vers vous très prochainement pour vous communiquer l’avancée de ce chantier.

 

Par contre, pensez à lancer vos propres démarches pour les données qui ne sont pas dans le périmètre d’Apidae, notamment vos données clients. Si vous avez des questions, vous pouvez contacter votre animateur ou Claudia Peteau qui est cours de formation pour son rôle de DPO (Data Protect Officer) !

 

Ressources sur le sujet :