Comment rendre mon site internet de camping conforme au RGPD ?
Les différents types de données personnelles. Le traitement des données à caractère personnel. Qui pour gérer la protection des données et pourquoi ?
Face au renforcement du Règlement général pour la protection des données (RGPD) entré en vigueur le 25 mai 2018 et surtout au renforcement des sanctions pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaire il est important pour les campings de faire le point sur leur conformité au RGPD et spécifiquement sur celles transitant par leur site internet.
Quelles sont les différents types de données personnelles ?
Il existe 3 types de données à caractère personnel :
- les données courantes : nom, prénom, âge, situation familiale, scolarité, formation, plaque d'immatriculation …
- les données sensibles : le revenu, le compte bancaire, la situation fiscale, les données de géolocalisation, les données de connexion (adresse IP, logs ...)
- les données particulières : origine raciale, opinion politiques, convictions religieuses ou philosophiques, données biométriques, orientation sexuelle, condamnation, le numéro de sécurité sociale …
Sauf exception, le traitement des données particulières est interdit.
Qui est concerné par le RGPD ?
Tout le monde, en effet entreprises, associations, municipalités collectent et traitent tous de données à caractère personnel que ce soit pour leurs salariés, leurs clients, leurs prospects ou leurs fournisseurs.
Faut-il supprimer toute collecte de données personnelles pour être en conformité ?
Non, la mise en conformité ne demande pas de supprimer toutes les données à caractère personnel mais à minima :
- de les identifier;
- d'étudier pour chaque traitement la licéité de la collecte;
- de constituer un registre de traitement;
- d'assurer la sécurité des données;
- de permettre à toute personne de savoir à qui s'adresser pour exercer ses droits :
- ses droits d’accès
- ses droits de rectification
- son droit à l'effacement
- son droit à la limitation du traitement
- son droit à la portabilité des données
- son droit d'opposition
- son droit de ne pas faire l'objet d'une décision basée sur un traitement automatisé
- son droit à la communication d'une violation des données personnelles
Faut-il désigner un délégué à la protection des données (DPD) pour son camping ?
S'il est indispensable de nommer un référent à la protection des données dans chaque camping ou groupe de campings et d'indiquer clairement ses coordonnées sur le site internet du camping, il n'est pas toujours obligatoire de nommer un DPD / DPO.
La nomination d'un DPD est obligatoire :
- pour tous les organismes du secteur public;
- si le camping ou le groupe de camping possède sa propre centrale de réservation avec un nombre important de contacts (plus de 3000 par exemples), leur traitement exige alors un traitement régulier et systématique par ce délégué.
Plan d'action pour mettre en conformité votre camping avec le RGPD
7 éléments à passer en revue pour débuter la mise en conformité de votre camping avec le règlement général sur la protection des données personnelles :
Vos salariés
- Le numéro de sécurité social ne doit plus être demandé dans les contrats de travail.
- Une clause RGPD précisant quels sont les données personnelles susceptibles d'être utilisées et pour combien de temps.
- Ne plus envoyer des documents à caractère personnel par mail (par exemple les fiches de paie, contrats de travail...).
- Définir une politique de conservation des données et l'appliquer.
- Ne collecter que les données nécessaires aux traitements décrits dans le registre.
Vos clients
- Les coordonnées bancaires ne peuvent conservées que le temps du règlement et doivent être effacées après la transaction (après la dernière transaction en cas de paiement en plusieurs fois).
- Informer le client sur le traitement qui sera fait concernant ses données avant de les collecter.
- Lors d'une réservation par téléphone, demander une adresse mail ou postale afin de pouvoir envoyer le contrat de réservation ET un document détaillant la protection des données que le client devra remettre à l'accueil en arrivant au camping.
- Lors d'une réservation sur un site Internet, demander en premier lieu l'adresse mail du client qui recevra un mail pour la valider et afficher une autre page web expliquant la liste des données collectées et la finalité des traitements que vous allez réaliser. Le client devra valider ces traitements avant de continuer à saisir la suite de ses données, son consentement devra obligatoirement être tracé, de même que l'exercice de ses droits.
Votre site
- Une mention contenant la protection des données personnelles devra figurer sur le site, de la même manière que les mentions légales.
- Permettre l'identification de la localisation du serveur afin de vérifier si les données sont transmises en dehors de l'UE.
Astuce pour identifier la géolocalisation de votre serveur
Utilisez ce site avec l'url de votre site ou son adresse IP pour localiser votre serveur : http://www.infowebmaster.fr/outils/localiser-site-web.php
Vos prospects
Si par le passé vos prospects n'ont fait l'objet d'aucune réservation, vous devez les effacer dans un délai maximum de 3 ans. Il est toujours possible, avant de les supprimer, de leur envoyer un message pour les avertir et leur poser la question s'ils souhaitent continuer à recevoir des informations. Si non, les supprimer, si oui, il vous faut pouvoir tracer leur accord !
Votre logiciel de gestion
L'éditeur de votre logiciel de gestion doit avoir prévu l'automatisation de certains traitements.
Par exemple, lors du départ du client, l'encryptage des données de paiement avant leur suppression.
L'accueil du camping
- Installer des broyeurs papiers afin de détruire les listes quotidiennes propres aux arrivés et départs, les locations, les services...
- Conserver dans un endroit sécurisé les données liées aux cautions bancaires.
- Vous avez l'obligation d'informer et de former vos saisonniers sur la protection des données personnelles.
La sécurité des données
- Les données papiers imprimées et archivées doivent être détruites en respectant les obligations légales.
- L'accès aux outils informatiques doit être protégé par mot de passe (8 caractères minimum et changé tous les 9 mois).
- Votre boite mail doit être régulièrement nettoyée, s'assurer que votre prestataire mail possède un système sécurisé.
- Ne jamais envoyer de documents contenant des données personnelles en pièce jointe sans les avoir cryptées.