Législation : quelles obligations dans la gestion des données personnelles ?

La donnée représente le Graal pour l’acheteur et le travel manager cherchant à mieux piloter la politique voyage de l’entreprise. Si elle devient désormais plus tangible grâce à des nouvelles métriques et aux progrès technologiques, quid de son utilisation au bénéfice des voyageurs afin d’aboutir à un travel management réellement personnalisé ? Entretien avec Anne Renard, Directrice du département conformité et certification, Lexing Alain Bensoussan Avocats.


Environnement BtoC (consommateur) ou environnement BtoB (professionnels) : quelles sont les principales différences en matière de gestion des données personnelles ?

En matière de données personnelles, il n'y a pas en principe de distinction à opérer entre un environnement BtoC et un environnement BtoB. Dès lors qu'une personne physique est directement ou indirectement identifiable, peu importe qu'elle soit dans le cadre de sa vie privée ou de sa vie professionnelle. Le RGPD a pleinement vocation à s'appliquer dès lors qu'un traitement de données à caractère personnel est mis en œuvre. Il convient donc d'appliquer les mêmes règles tant pour le BotB que pour le BtoC. Néanmoins, lors d'une relation BtoB, de tels traitements de données sont souvent moins nombreux et leur sensibilité moindre. Il convient par ailleurs de relever que les règles applicables en matière de prospection commerciale diffèrent selon qu'on est en BtoB ou en BtoC. Toutefois, ce n'est pas le RGPD qui est applicable en la matière. C'est le projet de règlement e-privacy qui devrait avoir un impact. La mise en conformité avec le RGPD est un enjeu majeur notamment en raison du pouvoir de sanction des autorités de contrôle. Mais sa mise en application devrait aussi et surtout avoir un effet positif. Le RGPD renforce les obligations de sécurité et de transparence des entreprises, donnant ainsi à leurs clients et leurs collaborateurs l’assurance d’un niveau de protection accru de leurs données.





Quels conseils donneriez-vous à un acheteur/travel manager qui souhaite utiliser les données personnelles des voyageurs pour personnaliser leur expérience?

Qui dit personnalisation, dit collecte importante de données et recours fréquent au profilage. Celui-ci constitue, au sens de l'article 4 du RGPD, toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.

D'un point de vue purement juridique, il apparaît tout d'abord intéressant de préciser un point : l'employeur n'est pas propriétaire des données personnelles des employés de sa société. En revanche, le RGPD donne un certain nombre de droits au salarié voyageur sur ses données à caractère personnel. Aussi, dans le cadre de sa mission, il peut être conseillé au travel manager ou à l'acheteur de mettre en œuvre plusieurs actions.

Premièrement, d’informer les collaborateurs en interne sur l'existence d'un profilage. Il faut avant tout faire preuve de transparence à l'égard du salarié voyageur sur l'existence d'un profilage aux fins de personnaliser les prestations de voyage. Cela passe par la mise en place d'une politique de protection des données personnelles ou encore par l'insertion de dispositions spécifiques dans la politique voyage, ce qui aura pour effet de rassurer le voyageur. Il doit en outre être mis en mesure de s'opposer au profilage. Il convient également de l’informer des détails du profilage : qu'est-ce qui motive le profilage ? Comment va-t-il être réalisé ? Sur la base de quelles données ? Quelles conséquences ce profilage va t'il avoir ? Cela contribue également à favoriser la confiance du collaborateur dans l'utilisation qui est faite de ses données.

Deuxièmement, il faut encadrer contractuellement l'utilisation des données personnelles du voyageur avec les prestataires tiers : on peut ainsi soit limiter, soit ouvrir le champ d'utilisation de ces données, en particulier avec les agences de voyages d'affaires.

Enfin, il faut permettre au voyageur de s'opposer, de manière explicite, à la prospection liée au profilage étant précisé que cette faculté de s'opposer au profilage est propre à la personne dont les données sont traitées.
Cette interview est issue du MOOK #2, plus d’infos ici

Propos recueillis par Aurélie Krau.