Étude de cas n°1: hôtel-restaurant

Le contexte

L’hôtel restaurant étoilé a pour objet d’offrir des prestations d’hébergement et de restauration à des clients professionnels ou particuliers.

Le business se concrétise par :

  • la venue sur place des clients (sans réservation)
  • la réservation téléphonique (le client appelant directement l’établissement)
  • la réservation via le site internet de l’hôtel ou via un site de réservation et paiement en ligne

Pour ce faire, l’établissement :

  • recrute, emploie et se sépare de salariés suivant le type de contrats (à temps plein ou partiel, CDI, CDD, temporaire)
  • passe des commandes auprès de différents fournisseurs pour l’approvisionnement des denrées alimentaires, produits d’entretien et d’hygiène …
  • contractualise :
    → ses abonnements (téléphonie, internet, EDF..),
    → ses relations avec ses prestataires de services tels que (liste non exhaustive) : expert-comptable en charge de la réalisation des bulletins de salaire et déclarations sociales, société d’infogérance pour la gestion du parc informatique, paysagiste pour l’entretien des espaces verts, sociétés de maintenance des conditions de sécurité (DUERP, vérification annuelle des extincteurs, vérification annuelle des installations électriques,…), société de nettoyage du linge..

L’ensemble de ces relations amène l’entreprise à collecter des données personnelles au sens du RGPD et donc à se conformer aux obligations qui en découlent.

La définition des besoins

Le client  nous a retenu car il a considéré que :

les connaissances de la réglementation lui manquaient

externaliser cette mission de conformité était la solution pertinente pour y répondre

son temps se devait d’être consacré à son cœur de métier

les bénéfices  exposés de la mise en conformité  justifiaient d’entamer la démarche : un réel retour sur investissement

un diagnostic cyber-sécurité se justifiait car ce point de vigilance ne faisait pas jusque là l’objet d’une attention particulière

le plan d’action proposé tenait bien compte des obligations du RGPD

Le process

Par la signature du contrat conclu,  le DPD (Délégué à la Protection des Données) est nommé et validé par le client.

A partir de ce moment, le DPD peut entamer la démarche pour se déclarer  auprès de la CNIL comme étant l’interlocuteur de référence entre la CNIL et l’entreprise.

Il s’agit d’ un contrat de prestations (engagement de moyens) dont la mission est précisément définie par le Règlement et rappelée dans le contrat.

La première étape a consisté à présenter le RGPD (fondamentaux …) à la gérante et ses responsables de service (administration et finance, accueil réception du public,  chargé de communication).

La deuxième étape a eu pour objectif l’élaboration du registre des traitements composé des différentes fiches de traitements. Le registre est remis et expliqué au client. Un plan d’actions priorisées complète ce document dématérialisé.

La troisième étape fut celle du diagnostic cyber-sécurité qui a révélé un certain nombre de points d’amélioration notifié dans le rapport. Ceux-ci ont été priorisés dans le plan d’actions préconisées. Depuis, la Direction a décidé de passer à l’action (remplacement de matériels informatiques obsolètes ne pouvant plus recevoir les mises à jour …)

Les prochaines étapes consisteront à travailler sur :

  • l’information aux personnes (mise à jour du site web, conditions générales de vente à revoir…)
  • les relations contractuelles avec les sous-traitants (prestataires de services évoqués précédemment)
  • le suivi de la sécurisation des données (hébergement, sauvegarde…)
  • le suivi de la mise à jour régulière des fichiers comportant des données personnelles

En conclusion :

Pour être en conformité, cette prestation s’inscrit dans le temps et la continuité. Ce ne peut-être une prestation « one-shot » et qui ne se règle pas par la mise en place d’un logiciel !