POURQUOI LA CONFORMITÉ AU RGPD EST-ELLE IMPORTANTE?

02/26/2020
Blog
5 mins read

COMMENT PASSPORTSCAN PEUT VOUS AIDER EN 5 ÉTAPES.

Le RGPD redonne du pouvoir aux consommateurs en obligeant les entreprises à être transparentes quant à la manière dont elles collectent, stockent et partagent les informations personnelles de leurs clients. Bien que le RGPD s’applique à toute organisation ou entreprise collectant des données sur les citoyens de l’UE, la nature des hôtels et les différentes sources de données telles que les réservations OTA et les systèmes PMS accentuent la réglementation pour les industries du voyage et de l’hospitalité.

PassportScan se conforme au RGPD pour garantir les paramètres de confidentialité, intégrés de manière adéquate, permettant à nos clients/partenaires de s’adapter à chaque étape du cycle de vie des données personnelles des clients.

Toutes les règles que les hôtels doivent suivre s’appliquent également aux logiciels qu’ils utilisent. Si un hôtel utilise un produit pour traiter ses données, ce produit doit respecter toutes les mêmes obligations que celles du propriétaire de l’hôtel. Chaque fournisseur qui reçoit des données personnelles d’un hôtel doit partager un accord de traitement des données (DPA) avec le propriétaire de l’hôtel pour confirmer que le fournisseur est conforme aux règles du RGPD. Le DPA doit dicter les finalités pour lesquelles le processeur traite les données.

COMMENT PASSPORTSCAN PEUT-IL AIDER?

1. Suppression des données périodiques : Afin de garantir que les données personnelles ne sont pas conservées plus longtemps que nécessaire, des délais devraient être établis par le responsable du traitement pour la suppression ou pour une révision périodique.

PassportScan peut être facilement configuré par le responsable du traitement ou le sous-traitant pour supprimer automatiquement les données capturées dans un certain intervalle de temps. Afin de garantir que les données personnelles ne sont pas conservées plus longtemps que nécessaire, des délais devraient être établis par le responsable du traitement pour la suppression ou pour une révision périodique.

Après 24 heures, l’image de la pièce d’identité et d’autres données sensibles peuvent être obscurcies dans PassportScan. Toute demande explicite de suppression totale des données du client entraînera une suppression totale des données/images du client dans PassportScan.

2. Consentements: Le responsable du traitement, connecté en tant qu’ADMIN dans PassportScan, peut ajouter tout type de texte que le client peut accepter/refuser, en cochant une case sur la tablette et en signant. Normalement, un texte est obligatoire (exigé par la loi/les institutions locales) et les autres peuvent inclure tout type de politique non spécifiquement liée à la confidentialité (par exemple, indemnisation pour paiement par carte de crédit, location de vélos, fumer, etc.).

Tout le texte peut être entièrement personnalisé selon les exigences spécifiques de l’hôtel en matière de confidentialité. Les textes peuvent être téléchargés dans deux langues (généralement la langue du pays comme langue principale et l’anglais comme deuxième langue).

Le consentement doit être donné par un acte clair et positif établissant une indication libre, spécifique, éclairée et non équivoque de l’accord du sujet de données au traitement de données personnelles le concernant, tel qu’une déclaration écrite, y compris par des moyens électroniques, ou une déclaration orale.

Cela pourrait inclure la coche d’une case lors de la visite d’un site internet, le choix des paramètres techniques pour les services de la société de l’information ou une autre déclaration ou conduite qui indique clairement dans ce contexte l’acceptation par le sujet de données du traitement proposé de ses données personnelles. Le silence, les cases précochées ou l’inactivité ne doivent donc pas constituer un consentement. Le consentement devrait couvrir toutes les activités de traitement effectuées pour le même objectif ou les mêmes objectifs. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour toutes ces finalités. Si le consentement du sujet de données doit être donné à la suite d’une demande par des moyens électroniques, la demande doit être claire, concise et ne pas perturber inutilement l’utilisation du service pour lequel il est fourni.

3. Protection des données personnelles sensibles: Afin de maintenir la sécurité et d’éviter tout traitement en violation du présent règlement, le responsable du traitement ou le sous-traitant devrait évaluer les risques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques, telles que le chiffrement. Ces mesures devraient garantir un niveau de sécurité approprié, y compris la confidentialité, en tenant compte de l’état de l’art et des coûts de mise en œuvre par rapport aux risques et à la nature des données personnelles à protéger. Lors de l’évaluation des risques de sécurité des données, il convient de tenir compte des risques présentés par le traitement des données personnelles, tels que la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées, pouvant notamment entraîner des dommages physiques, matériels ou non matériels.

PassportScan garantit un niveau élevé de sécurité en protégeant toutes les données capturées grâce à un chiffrement avancé (Blowfish+).

4. Droit à l’oubli: Des modalités devraient être prévues pour faciliter l’exercice des droits du sujet de données en vertu du présent règlement, y compris des mécanismes pour demander et, le cas échéant, obtenir, gratuitement, en particulier, l’accès aux données personnelles et la rectification ou la suppression de celles-ci ainsi que l’exercice du droit d’opposition. Le responsable du traitement devrait également fournir des moyens permettant de faire des demandes électroniquement, notamment lorsque les données personnelles sont traitées par des moyens électroniques. Le responsable du traitement devrait être tenu de répondre aux demandes du sujet de données sans retard injustifié et au plus tard dans un délai d’un mois, et de donner les raisons pour lesquelles il n’a pas l’intention de donner suite à de telles demandes.

En utilisant PassportScan, lors de la signature sur la tablette, le client peut choisir de refuser / de ne pas signer la politique qui demande de traiter / de conserver ses données personnelles. Un refus de cette politique entraînera une suppression totale de ses données.

Conformément à la politique du « droit à l’oubli », cela sera affiché en premier, conformément au RGPD, pour l’approbation/le refus du client.

5. Attribution des responsabilités: La protection des droits et libertés des personnes concernées ainsi que la responsabilité et la responsabilité des responsables du traitement et des sous-traitants, également en ce qui concerne la surveillance et les mesures des autorités de contrôle, nécessite une attribution claire des responsabilités en vertu du présent règlement, y compris lorsque un responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.

PassportScan propose différents niveaux d’accès basés sur les responsabilités dans un établissement/organisation donné. Les connexions utilisées sont en tant qu’utilisateur, super-utilisateur et administrateur (ces rôles pourraient être, dans un hôtel par exemple, respectivement pour un réceptionniste, un directeur de l’hébergement et un directeur général/IT).

Cette opération restreint ainsi l’accès aux données sensibles aux utilisateurs normaux et évite une menace pour la sécurité qui est souvent négligée.

De plus, tous les mots de passe utilisés par les différents utilisateurs, conformément au RGPD, ont été renforcés dans PassportScan (il est désormais obligatoire de créer un mot de passe utilisant des lettres minuscules et majuscules, des chiffres et des caractères spéciaux).

Une action, une modification ou un processus particulier effectué par un utilisateur spécifique peut être facilement retracé grâce à l’historique des audits, un autre service mis en place par PassportScan pour se conformer au RGPD.

Passportscan