Les amendes prononcées par la CNIL pour non-conformité au RGPD se révèlent être sévères. Pour ces raisons et devant la menace des condamnations et la hauteur des amendes, l’association XFT vient de lancer un vaste chantier de réflexion. L’objectif sera de proposer aux producteurs comme aux distributeurs une solution pérenne et sécurisée sans nuire à leur efficacité commerciale.
Quelle est la situation ? Le montant record des amendes pour non-respect du RGPD résulte des dispositions de l’article 83 qui impose qu’elles soient prononcées de façon : “effectives, proportionnées et dissuasives”. Il en résulte une quasi-obligation juridique des autorités nationales de contrôle de fixer un plancher minimum entre 50 et 100 millions d’euros. C’est notamment ce qui avait décidé la CNIL à sanctionner Google à hauteur de 50 millions d’euros. Depuis les amendes tombent lourdement pour : ‘’manque de mesures techniques sécurisant les données des clients’’ : 250.000 euros à Bouygues Telecom, 400.000 euros à Uber, 50.000 euros à Dailymotion et 250.000 euros à Optical Center…le caractère ‘’dissuasif’’ a incontestablement été retenu par la CNIL.
Les professionnels du tourisme, depuis longtemps alertés par les institutionnels EDV, APST, Seto se rangés très tôt en ordre de bataille. Reste la gestion fastidieuse des mots de passe. En effet, pour être conforme aux exigences du RGPD et aux recommandations de la CNIL le mot de passe doit faire au moins 12 caractères, y compris des caractères spéciaux, minuscules et majuscules et chiffres. De quoi singulièrement compliquer le quotidien des vendeurs. De de fait, il n'est pas rare de voir fleurir encore autour des écrans des pétales de post-il avec des accès qui devraient rester confidentiels. Pas très RGPD tout ça.
Mais comment faire ? Changer régulièrement les mots de passe reste une sage précaution. Hélas, cette pratique entraine souvent des dysfonctionnements et des baisses de performance. Pourtant devant la multiplication des applications web qui accompagne aujourd’hui la réservation d’un voyage, il devient urgent de trouver une solution. Devant cette situation Les professionnels du tourisme, regroupés au sein de l'association XFT, étudient la mise en place d'un identifiant unique de l'agent de voyage.
Open ID
Leur attention s'est portée sur la technologie de l'OPEN ID. C'est la solution la mieux adaptée au monde du web. L’utilisateur se crée un compte auprès d’un fournisseur d’identité exactement comme on peut le faire avec Facebook ou Google. C’est le "FaceBook Connect" ou le "Google Connect". Vous connaissez la suite : chaque nouvelle connexion s’effectuera par l’intermédiaire de son fournisseur d’identité unique. L’idée serait d’appliquer ce process au monde du tourisme. C’est le chantier que vient d’ouvrir XFT avec la collaboration d'Orchestra, SpeedMedia et Amadeus.
Le nouveau président d’XFT ne cache pas son ambition : « il faut trouver une alternative à la problématique du SSO et faciliter les connections des agences de voyages tout en les sécurisants avec un open ID du tourisme. » Le principe de l’open ID repose sur un tiers de confiance apte à identifier la connexion. C’est exactement le modèle qui conviendrait aux pratiques et à l'organisation actuelle des agences de voyages.
L’Open ID du Tourisme s’organiserait de la façon suivante pour se connecter, par exemple, à un B2B d'un TO :
- L'Open ID Connect est géré par un tiers de confiance (un acteur technologique majeur du secteur par exemple)
- Les professionnels s’y connectent par l'intermédiaire du B2B du TO, avec leurs propres login et mots de passe.
- Le système du TO procède en suite à la vérification de la validité de l'identification et donne accès à son système.
Jean François Griffoul explique : « Dans la pratique c’est déjà un peu ce qui se passe. Les TO donnent accès aux agences de voyages qui se connectent avec login et mot de passe par l'intermédiaire de plate-forme "SSO", sauf qu’avec l’Open ID se serait bien plus sécurisé. »
Pour le TO c'est plus simple. Il gère des droits d'accès au niveau de l'agence. Inutile de disposer d'accès personnels en base de données. Les renouvèlements de mots de passe personnels sont délégués au tiers de confiance.
Pour l’agent de voyage : fini les post-il ! Il n’a plus à retenir qu’un seul login et mot de passe, le sien Et quand un collaborateur quitte une agence, inutile de changer les mots de passe pour tout le monde. Il suffira de couper les accès personnels du collaborateur au niveau du tiers de confiance.
Tout sera bien dans le meilleur des mondes ? « Certainement, ajoute Jean François Griffoul, mais à condition que les TO intègrent la techno s’y rapportant. Mais cela devrait être assez simple, un peu comme un système de paiement électronique. ». L'objectif serait de parvenir à la mise en place de process standards. Ainsi, quel que soit le tiers de confiance utilisé, la connexion se fera exactement de la même manière. Les économies de développement pour ceux qui proposeront ce mode de connexion seront indéniables.
Pour le reste, XFT n’aurait pas à se lancer dans des développements lourds comme l’explique son président : « les techniques existent. Il suffit de les adapter. Et il existe déjà des référentiels de collaborateurs.»
Croisons les doigts que ce chantier aboutisse, ne serait-ce pour mieux se garantir des dispositions du RGPD. Ainsi, notre industrie du tourisme connaitra une mini révolution technologique productive et la vie des vendeurs s’en trouvera grandement facilitée. Si la réussite est au rendez-vous, le nouveau président d’XFT aura marqué positivement de son empreinte son passage dans l’association.
Le chantier de l’Open ID du tourisme est mené avec :
Nicolas Giry d’Amadeus
Charles Tandonnet d’Orchestra
Sophie Veillet d’Orchestra
Michael Merkel d’Orchestra
Laurent Briquet de SpeedMedia
Jean François Griffoul de Leclerc Voyages