01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Fichiers clients collectées par les hôtels : nécessité d'effacer les données bancaires une fois la transaction réalisée

Logo HAAS 2022

La Cnil vient de rappeller dans un communiqué du 29 mai 2007, les règles encadrant le traitement des données bancaires des clients des hôtels. Ces données doivent faire l’objet de mesures de sécurité particulières et leur conservation doit être limitée dans le temps. 

En l’occurrence, le contrôle sur place de la Cnil avait pour objectif de vérifier le respect par un hôtel de ses obligations en matière de la gestion de ses fichiers « clientèle ». Or, la vérification a dévoilé un certain nombre de manquements tels que :

 L’absence d’une politique d’effacement des données collectées (certaines données étaient conservées depuis près de quinze ans)

Des mesures de sécurité insuffisantes au regard de la nature des données enregistrées (numéros de carte bancaire notamment)

Un défaut d’information des clients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droit d’accès par exemple)
 

La Commission insiste sur la nécessité pour les hôtels d’effacer les données bancaires une fois la transaction réalisée. En clair, les données bancaires du client doivent être effacées une fois le paiement effectif réalisé, et ceci afin de limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires.

Par conséquent, seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées au-delà.

Notons que, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises par l’hôtelier à savoir :

  protéger par des mots de passe l’accès aux fichiers « clientèle » et aux logiciels ;

 chiffrer les données bancaires stockées ;

sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, mots de passe, protocole sécurisé).

Enfin, la Cnil souligne que les clients doivent être informés par des formulaires de réservation en ligne, par les factures, ou par voie d’affichage :

de l’identité du responsable des traitements,

de leurs finalités, des destinataires des données,

du caractère obligatoire ou facultatif des réponses et

des modalités d’exercice des droits d’accès, de rectification et d’opposition.

Observons, que ces précisions s’inscrivent dans la ligne de la recommandation n° 03-034 du 19 juin 2003, qui a conduit la CNIL à se prononcer sur les modalités de stockage et d’utilisation du numéro de carte bancaire dans le secteur de la vente à distance. Ces rappels concernent aussi un grand nombre de professionnels disposant de fichiers clients.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com