Fichiers clients collectés par les hôtels : nécessité d'effacer les données bancaires une fois la transaction réalisée

La Cnil vient de rappeller, dans un communiqué du 29 mai 2007, les règles encadrant le traitement des données bancaires des clients des hôtels. Ces données doivent faire l'objet de mesures de sécurité particulières et leur conservation doit être limitée dans le temps.

 En l'occurrence, le contrôle sur place de la Cnil avait pour objectif de vérifier le respect par un hôtel de ses obligations en matière de la gestion de ses fichiers « clientèle ». Or, la vérification a dévoilé un certain nombre de manquements tels que :

·         l'absence d'une politique d'effacement des données collectées (certaines données étaient conservées depuis près de quinze ans),

·         des mesures de sécurité insuffisantes au regard de la nature des données enregistrées (numéros de carte bancaire notamment)

·         et un défaut d'information des clients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droit d'accès par exemple).

La Commission insiste sur la nécessité pour les hôtels d'effacer les données bancaires une fois la transaction réalisée. En clair, une fois le paiement effectif réalisé par le client, et ceci afin de limiter les cas d'utilisation frauduleuse de numéros de cartes bancaires.

Par conséquent, seul le consentement exprès du client, préalablement informé de l'objectif poursuivi (faciliter le paiement par les clients réguliers de l'hôtel) peut justifier que les données soient conservées au-delà.

Notons que, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises par l'hôtelier à savoir :

·         protéger par des mots de passe l'accès aux fichiers « clientèle » et aux logiciels ;

·         chiffrer les données bancaires stockées ;

·         sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, mots de passe, protocole sécurisé).

Enfin, la Cnil souligne que les clients doivent être informés : par des formulaires de réservation en ligne, par les factures ou par voie d'affichage :

·         de l'identité du responsable des traitements,

·         de leurs finalités, des destinataires des données,

·         du caractère obligatoire ou facultatif des réponses et

·         des modalités d'exercice des droits d'accès, de rectification et d'opposition.

Observons, que ces précisions s'inscrivent dans la ligne de la recommandation n° 03-034 (du 19 juin 2003) qui a conduit la CNIL à se prononcer sur les modalités de stockage et d'utilisation du numéro de carte bancaire dans le secteur de la vente à distance. Ces rappels concernent aussi un grand nombre de professionnels disposant de fichiers clients.

Autour du même sujet