Le RGPD et l’hôtellerie en France : une révision nécessaire du mandat de gestion hôtelier
Date de publication : 20.12.18
Anne Epinat Christopher Boinet
Un avenant au contrat de gestion hôtelier en cours paraît nécessaire
Le RGPD (Règlement Général de Protection des Données à personnel – Règlement européen n°2016/679) et la loi n°78-17 Informatiques et Libertés telle que modifiée au 20 juin 2018, ont pour objet la protection desdites données à caractère personnel, mais également de leur libre circulation.
L’hôtelier a un devoir de sécurité renforcée vis-à-vis de ses clients. Cette obligation contractuelle couvre tous les aspects de la vie privée du client, allant de la protection de sa personne et de ses biens, jusqu’à celle de son image, de ses données personnelles et confidentielles. Cette protection et cette circulation doivent en effet être encadrées et régulées afin d’éviter à l’heure de la digitalisation, les abus, dérapages ou accidents, auxquels nous assistons depuis plusieurs années au sujet du traitement de ces données. [1]
Aujourd’hui, une agence de presse peut « hacker » le site d’Air France pour récupérer les noms des « people » voyageant sur la compagnie, un grand groupe hôtelier chinois (Huazhu) a été victime d’un vol de 141.5 Go de données clients, soit 150 millions de comptes utilisateurs, Fastbooking, plateforme de réservation en ligne, filiale d’AccorHotels, annonce avoir été victime d’une cyberattaque de grande envergure en juin 2018 et Marriott vient d’annoncer avoir subi un piratage de données informatiques qui pourrait affecter jusqu’à 500 millions de clients.
L’heure est donc à la mobilisation des hôteliers sur ces questions
Comment les aborder lorsque les propriétaires d’hôtel négocient un contrat de management avec des enseignes hôtelières ?
La responsabilité de la gestion opérationnelle de l’hôtel est confiée à l’enseigne hôtelière. Le propriétaire conserve pour sa part la responsabilité juridique et financière de son bien. Il arrête chaque année avec le professionnel hôtelier le budget et s’accorde sur les grandes lignes des investissements et de l’exploitation de l’hôtel et il s’assure de leur exécution. Le mandat de gestion hôtelier relève des articles 1984 et suivants du Code Civil : le propriétaire-mandant est donc responsable des agissements de son gestionnaire-mandataire. [2]
Depuis le 25 mai 2018 et en application de la nouvelle règlementation, un avenant/annexe au mandat de gestion hôtelier, s’impose pour aménager la gestion des données à caractère personnel et la répartition des responsabilités respectives du propriétaire-mandant et du gestionnaire-mandataire dans le traitement de ces données. En effet, le responsable de traitement des données est en principe celui (personne physique ou morale) qui détermine les finalités et les moyens du traitement des données.
Dans les faits, ce responsable de traitement peut donc être aussi bien le mandant que le mandataire, selon les traitements de données que chacun effectue. Cela va dépendre de la description et de l’étendue du contrat de management hôtelier et des obligations souscrites par les parties. Le non-respect de la réglementation issue du RGPD peut exposer l’hôtelier à différents types de poursuites :
- (i) poursuites administratives, mises en œuvre par la CNIL, soit sur plainte d’une victime, d’un salarié, d’une association de consommateurs…soit lors d’un contrôle ;
- (ii) poursuites civiles, engagées directement par les victimes qui invoquent un préjudice résultant d’un traitement illégal de leurs données personnelles ;
- (iii) et éventuellement des poursuites pénales.
(i) Les hôteliers sont exposés à une sanction administrative importante
Celles-ci peuvent aller du simple avertissement à une amende d’un montant pouvant atteindre jusqu’à 4 % du CA mondial réalisé par l’entreprise défaillante, ou 20 M€.[3].
Il s’agit donc d’une pénalité qui peut être très lourde et dont le paiement n’est pas couvert par la Compagnie d’Assurances qui garantit les risques de l’hôtel. Les sanctions sont prononcées par l’autorité administrative de contrôle compétente, qui en France est la CNIL. Cette sanction va être prononcée essentiellement contre celui qui est considéré comme le responsable du traitement des données et parfois, contre son sous-traitant, si celui-ci a failli dans la mission qui était la sienne.
Si le Gestionnaire mandataire détermine seul les finalités et moyens du traitement des données à caractère personnel, ce qui est en pratique généralement le cas, c’est lui qui sera considéré comme responsable du traitement, et sera donc l’entité administrativement « sanctionnée ». Le Propriétaire-mandant peut être considéré comme co-traitant des données, s’il a effectué, initialement ou sous sa seule responsabilité, certains traitements de données.
Le prononcé de cette sanction administrative n’interdit pas au client de l’hôtel dont les données à caractère personnel n’auront pas été protégées, ou l’auront été insuffisamment, d’engager la responsabilité civile voire la responsabilité pénale du dirigeant de l’établissement hôtelier.
(ii) Les hôteliers sont exposés à des sanctions civiles a priori mineures
La victime ou un groupe de victimes peut agir sur le fondement de la responsabilité civile ou délictuelle de l’hôtel si des données à caractère personnel ont été divulguées/perdues/dégradées.[4]
Ce pourrait être le cas, par exemple, si par la divulgation de ces données personnelles non protégées, le conjoint d’une personne apprenait fortuitement que cette dernière a séjourné dans un hôtel en « galante compagnie », ou pris l’avion pour l’ile de la Réunion, alors qu’elle était censée être à Saint-Brieuc.
En vertu des règles applicables au mandat, cette action peut être engagée aussi bien contre le propriétaire-mandant que le gestionnaire-mandataire, sous réserve de justifier d’un préjudice, aussi délicat à établir qu’en matière de droit à l’image. En outre, les responsabilités civiles du propriétaire ou du gestionnaire sont habituellement couvertes par une assurance.
(iii) Les hôteliers sont exposés à des sanctions pénales très lourdes
Les sanctions pénales pour infraction à la législation sur la protection des données sont très dissuasives et peuvent aller jusqu’à 5 ans d’emprisonnement et/ou 300 000 € d’amende.[5]
Ce volet n’est donc pas à négliger non plus dans l’organisation de la gestion hôtelière et du management de l’hôtel.
Il est donc nécessaire d’adapter le mandat de gestion hôtelier au risque RGPD
A l’occasion de la gestion d’un hôtel assurée par un mandat de gestion hôtelier, on constate que des collectes de données peuvent être opérées soit par le propriétaire, soit par le gestionnaire qui est en général celui qui gère et qui bénéficie des informations recueillies. Du point de vue du mandant également propriétaire du fonds de commerce hôtelier, ce dernier prendra soin d’insérer dans le contrat de gestion hôtelier une clause détaillée par laquelle son enseigne hôtelière déclare être parfaitement en règle avec la législation régissant la protection des données personnelles.
Le gestionnaire s’engagera également à assumer les responsabilités qui lui sont dévolues à cet égard conformément à la législation applicable. Dès lors, tout manquement du gestionnaire constaté par un membre du personnel ou un client de l’hôtel constituerait également une violation des engagements pris par le gestionnaire à l’encontre du mandant, permettant à ce dernier de dégager sa responsabilité. Mais pour tenir compte de l’éventuelle collecte de données par le propriétaire-mandant, il est également très important que le mandat de gestion détaille quelles sont les données transmises par ce dernier et quelles seront les responsabilités, éventuellement croisées, du mandant et du mandataire dans la protection de ces données.
Lorsque le contrat de gestion est déjà en cours d’exécution, on recommandera de rédiger dans le détail un avenant pour régler ces questions nouvelles liées à l’application du RGPD. Au-delà du contrat de mandat, les hôteliers doivent mettre leurs établissements en conformité avec la réglementation sur le traitement des données en adoptant notamment une Politique de confidentialité à destination des clients et une Charte à destination du personnel, , aussi bien pour établir des normes techniques applicables à la gestion des données, que pour sensibiliser toute personne qui, au sein de l’hôtel, sera conduite à gérer des données à caractère personnel, et d’une manière générale, après un audit spécifique, de la mise en place du Registre des Traitements requis par la réglementation.
Ces documents contiendront notamment les droits et obligations du personnel sur la protection des données, ainsi que les bonnes pratiques d’utilisation des systèmes d’information. L’encadrement des différents traitements des données des clients est d’autant plus important qu’on assiste aujourd’hui à une augmentation des risques : par exemple du fait de l’accroissement des actes de piratage informatique (logiciels malveillants en tous genres) ou suite à des vols de données par des salariés indélicats et peu scrupuleux (malheureusement, le danger vient souvent de l’intérieur).
Cette augmentation des risques, face à l’augmentation du poids des sanctions, requiert de mettre son établissement hôtelier en conformité et de « faire vivre » cette conformité dans l’établissement hôtelier : à titre d’illustration, la règlementation oblige désormais à déclarer toute faille de sécurité (piratage, vol de donnée ou perte de donnée…) dans les 72 h et également d’enregistrer les réclamations des clients au sujet de leurs données et d’y répondre, ceci doit être tracé et inscrit dans le registre des traitements, sous peine d’encourir les mêmes sanctions administratives, civiles et pénales.
Cette mise en conformité s’effectue sous la responsabilité du gestionnaire de l’hôtel pour les membres du personnel de l’hôtel. Il est vraisemblable que dans le cas d’un mandat de gestion hôtelier inversé, la responsabilité du gestionnaire en sera accrue et on voit mal celui-ci s’affranchir de sa responsabilité dans l’exécution du contrat de management hôtelier.
En conclusion
La réglementation applicable à la protection des données à caractère personnel est, on le voit un sujet transversal, qui concerne, au premier chef, toutes les professions d’accueil et de service, dont l’hôtellerie est la plus représentative. Outre les risques et les sanctions légalement encourus, l’hôtelier risque surtout sa « e-réputation », qui constitue aujourd’hui indéniablement un critère de confiance et de sélection de l’établissement hôtelier par le client.
[1] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales ; CNIL Délibération n°SAN – 2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND ; CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS ; CNIL Délibération n°SAN-2017-010 du 18 juillet 2017- HERTZ ; CNIL Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE et Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-082 du 22 mars 2018 décidant de rendre publique la mise en demeure prise à l’encontre de la société DIRECT ENERGIE.
[2] Cass. 3e civ., 15 févr. 2006, n° 05-11.263 FS-D, Maini c/ Cie européenne d’assurances et autres (cassation CA Nîmes, 1re ch. civ. A, 13 janv. 2004) : Juris-Data n° 2006-032226.
[3] LIL 3 : Loi 78-17 du 6 janvier 1978 modifiée le 22 juin 2018 : articles 45 suivants et RGPD N°2016/679 : article 58 §2 et 83.
[4] Règles classiques de la responsabilité civile délictuelle (articles 1100 et suivants du code civil).
[5] Articles 50 à 52 de la LIL 3 Loi 78-17 du 6 janvier 1978 modifiée le 22 juin 2018 renvoyant aux articles 226-16 à 226-24 Code Pénal.
Retrouvez tous nos articles chaque mois dans l’AJD, l’Actualité Juridique des Décideurs. Abonnez-vous ! 👇
Auteurs :
Partagez