Il y a un peu plus d’un an, de façon spectaculaire, la Cour de Justice de l’Union européenne (CJUE) a, par sa décision du 6 octobre 2015, déclaré invalide l’accord européen sur la « sphère de sécurité » (dit ‘Safe Harbor’) conclu entre l’Union européenne (UE) et les États-Unis, qui autorisait la transmission de données à caractère personnel depuis les pays de l’UE vers les entreprise américaines ayant adhéré Safe Harbor

Les juges étaient parvenus à la conclusion que le mécanisme proposé n’offrait en définitive pas un niveau de protection adéquat, considérant que les autorités publiques américaines pouvaient accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées.

Depuis, la Commission européenne a négocié un nouvel accord avec les États-Unis, dit ‘EU-US Privacy Shield’ qui est entré en vigueur le 1er août 2016. Il est désormais possible de s’y référer pour transférer des données personnelles vers les Etats-Unis, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine. Au-delà de cette obligation formelle, les entreprises américaines devront également respecter les obligations et les garanties de fond prévues par le « Privacy shield ».

C’est dans ce contexte que dix autorités différentes de contrôle ont récemment annoncé souhaiter contrôler le transfert de données à l’international de plusieurs centaines d’entreprises notamment allemandes, sélectionnées de façon aléatoire.

Quelles sont les conséquences pour le secteur hôtelier ?

Les hôtels profitent de leurs hôtes – et de leurs données. Le secteur connait la valeur de ces informations et, à l’heure du Big Data, essaie de multiplier les moyens techniques permettant de les exploiter et analyser afin notamment d’optimiser ses modèles commerciaux. Dans cette « chasse au trésor », les restrictions du droit de la protection des données et de la concurrence –qui sont parfois considérables- sont souvent méconnues. Cela vaut également pour les prescriptions relatives au transfert de données à l’international. 

En Allemagne, un très grand nombre d‘hôtels est exploité dans le cadre d’un système de franchise ou sur la base d’un contrat de gestion hôtelière. Les franchiseurs et les opérateurs hôteliers –surtout s’il s’agit des groupes hôteliers multinationaux ayant parfois leur siège en dehors l’UE ou de l’EEE– prévoient dans leurs contrats de franchise ou de gestion hôtelière que les données des hôtes rassemblées dans le cadre de l’activité hôtelière soient transmises à une base de données centrale. 

Parfois, il est demandé que la « propriété  » des données des hôtes soit transmise au franchiseur ou au gestionnaire d’hôtel. Économiquement, cette procédure semble opportune. Grâce, tous les hôtels associés à un tel système bénéficient de la collecte et de l’échange des données des hôtes. Outre l’exploitation de services informatiques efficaces et peu coûteux, il en résulte également la possibilité d’effectuer des évaluations centralisées, des campagnes de marketing individualisées et des offres concrètement adaptés à chaque hôte. 

Le problème qui se pose dans ce contexte est le fait de savoir quelle est la qualité des différents intervenants et en particulier des franchiseurs et franchisés. Responsable de traitement, sous-traitant, simple destinataire, ou même tiers par rapport aux traitements réalisés, la qualité dépend de la situation de fait considérée et de la législation applicable. 

En pratique en effet, la conservation et le traitement des données du client dans des systèmes informatiques centralisés soulèvent souvent de nombreuses questions. Et lorsque le serveur qui héberge les données des hôtes se trouve en dehors de l’Union Européenne – ce qui est souvent le cas, notamment avec les chaînes hôtelières américaines – il faut en outre résoudre la problématique de l’encadrement du transfert.  

D’autres cas classiques se posent en matière hôtelière : dans le cadre de l’acquisition d’un hôtel, mais aussi en cas de changement d’opérateur hôtelier en cours d’activité, les réservations existantes et les données des hôtes associées sont souvent vendues au nouvel opérateur hôtelier. 

Or, pour être valide une telle cession de données à caractère personnel exige, selon les législations applicables, le consentement ex ante des clients de l’hôtel concernés ou a minima leur information préalable. D’un point de vue juridique, il existe des solutions pragmatiques et garantissant le respect de la loi. La pratique montre cependant que ce problème ne fait que trop peu l’objet d’une attention sérieuse.

Le non-respect de la législation en matière de protection des données ne devrait pas être pris à la légère, car des bases de données relatives à la clientèle illégalement acquises ne peuvent être exploitées et doivent être supprimées. Les investissements réalisés – par exemple dans le cadre de l’acquisition d’un hôtel – seraient perdus (!).

En outre, le montant des amendes encourues s’est considérablement accru dans le différentes juridictions de l’union et pourra en 2018 lorsque le règlement européen sera en vigueur, aller jusqu’à quatre pourcent du chiffre d’affaires annuel mondial réalisé par le contrevenant(!).