La loi RGPD, de protection des données personnelles, est entrée en vigueur cette année. Toutefois, ses stipulations restent complexes et particulièrement difficiles à implémenter dans les process organisationnels du secteur du tourisme. Sans l’implication des fournisseurs de solution, l’exercice se révèlerait être délicat, comme nous l'explique Karine Mazet, Directrice Générale de la société Viaxoft.
I-tourisme : Pensez-vous que les agences soient en conformité depuis le 25 mai ?
Karine Mazet : Tout se met en place de façon progressive. Chez Viaxoft nous avons anticipé depuis un an l’application de la loi de façon à être prêts à date en faisant intervenir un avocat spécialisé. Cette date ne représente pas une finalité, mais surtout un point de départ. Ce qui veut dire que nous continuons à travailler sur les process pour permettre à nos clients d’intégrer tous les dispositifs qu’implique le RGPD.
I-tourisme : Comment procédez-vous ?
Karine Mazet : Dans un premier temps, nous avons travaillé sur la mise en place d’avenants à nos contrats pour préciser notre rôle en tant que sous-traitant des données de nos clients. Ensuite, pour chaque point soulevé, nous étudions avec les services de nos avocats spécialisés les tenants et aboutissants. Nous lançons des cycles de travail très courts, très opérationnels, de deux semaines, en mode agile afin de mettre en place les solutions adaptées.
I-tourisme : Le RGPD entraîne avec son application un certain nombre d’obligations. Comment un fournisseur de solutions peut aider les agences dans son quotidien ?
Karine Mazet : Nous travaillons sur les fonctionnalités qui permettent à nos clients de répondre simplement à ces obligations comme par exemple le chiffrement des données en base ou les mentions nécessaires sur les fiches clients.
I-tourisme : Et de manière plus détaillée ?
Karine Mazet : D’abord, l’anonymisation des données. Celle-ci incombe directement à nos clients en tant que responsable de traitement. Par contre dans nos logiciels, nous avons mis en place la faculté de faire remonter aux utilisateurs, les mots problématiques comme les insultes, les termes xénophobes, ou sexistes, etc …
Sans parler de la mise en place d’un processus d’archivage comme la suppression des données collectées si les informations relatives au client final n'ont pas été utilisées depuis cinq ans.
I-tourisme : Dans ce domaine, en tant que prestataire IT, quelle est votre responsabilité ?
Karine Mazet : En tant que fournisseur de solutions informatiques, nous ne sommes pas propriétaires des données de nos clients. Ils sont responsables de leurs données et doivent aussi se mettre en conformité sur l’ensemble de leurs processus internes. Par contre, c’est notre devoir de donner les moyens de les sécuriser et de permettre d’en restreindre l’accès afin d’être conforme par rapport à la loi.
I-tourisme : A l’inverse, votre outil autorise la gestion de la base qui comporte des données personnelles. Comment savoir si l’agence est en conformité ?
Karine Mazet : C’est vrai que nous embarquons les informations comme le nom, le prénom, les dates de voyages, les dates anniversaires et plus encore avec les préférences voyages, la prise en compte de l'historique des dossiers… Vous êtes en conformité si vous parvenez à démontrer que ces données sont protégées. D’où, comme je l’expliquais les restrictions d’accès à la base de données avec login et mot de passe pour les personnes habilitées et le chiffrement des données.
I-tourisme : Et lorsque la fiche client comportant des informations personnelles se situe dans le site internet de l’agence ?
Karine Mazet : C'est une bonne question. En effet, que ce soit par une collecte manuelle des données "au fil de l'eau", par une alimentation de la fiche client dans l'application via un self care ou grâce à des qualificatifs marketing et des tags, l’espace doit de la même façon être protégé avec restriction d’accès, login et mot de passe et chiffrement des données.
I-tourisme : Sur le plan pratique comme ça se passe ?
Karine Mazet : Soit les manipulations se font sur nos logiciels et nous apportons la sécurité expliquée ci-dessus, soit les sites internet de nos clients intègrent directement nos API. Dans ce dernier cas, les données sont toujours chiffrées par nos soins et nous authentifions le site qui nous appelle. Charge à nos clients de gérer l’authentification de l’internaute.