Home»DATA»#FBT18 : quels sont les nouveaux enjeux de sécurisation de la data dans le voyage d’affaires ?

#FBT18 : quels sont les nouveaux enjeux de sécurisation de la data dans le voyage d’affaires ?

FBT18-les-enjeux-de-securisation-de-la-data-dans-le-voyage-d-affaires
© TOM

A l’occasion de la 3e édition du Future of Business Travel organisé par TOM en partenariat avec SAP Concur, Anne Renard, Responsable Conformité et Certification et Marie Soulez, Responsable Propriété Intellectuelle pour le cabinet d’avocats Lexing — Alain Bensoussan, ont présenté les enjeux juridiques liés à la protection des données du voyageur en déplacement.

« Lorsqu’un collaborateur effectue un déplacement professionnel, il expose non seulement ses données personnelles, mais également des informations relatives au secret des affaires », a introduit Anne Renard, avocate responsable Conformité et Certification pour le cabinet Lexing. Les entreprises du Travel commencent à prendre conscience des enjeux de mise en conformité avec le RGPD. Elles sont cependant moins au fait des problématiques juridiques que soulève un voyage d’affaires vis-à-vis du secret des affaires. Les juristes ont donné au public une liste de conseils pour optimiser leur traitement des données personnelles et d’entreprises.

Profilage et tracking du voyageur : quelles obligations juridiques ?

Toute information permettant d’identifier une personne de manière directe ou indirecte constitue une donnée à caractère personnelle. « Lors d’un déplacement professionnel, un voyageur d’affaires qui réserve un vol ou une chambre d’hôtel partage à la fois des données d’identification, professionnelles, de géolocalisation ou encore des données liées à sa vie privée », a expliqué Anne Renard. Ces données circulent entre le voyageur, son travel manager et la TMC qui s’occupe d’organiser le voyage d’affaires. « Mais d’un point de vue juridique, la notion de propriété n’est pas définie. C’est donc à l’employeur d’encadrer l’exploitation de ces données par des clauses contractuelles », a poursuivi la responsable Conformité et Certification. L’entreprise peut alors décider de limiter ou au contraire d’ouvrir le champ d’exploitation des données de voyage, par exemple dans le but de personnaliser sa politique voyage en fonction du profil de ses collaborateurs. Ces derniers peuvent cependant s’opposer au profilage. « À l’employeur d’être le plus transparent et pédagogue possible pour montrer à ses collaborateurs l’avantage du profilage », a expliqué Anne Renard.

Si le collaborateur en déplacement est géolocalisé à l’aide de son smartphone par exemple, l’entreprise doit justifier ce tracking. « Bien que le tracking soit généralement effectué pour des raisons de sécurité, l’entreprise a pour obligation légale de permettre à son collaborateur de désactiver la géolocalisation à tout moment », a précisé Anne Renard. Toutes ces obligations découlent de l’entrée en vigueur du RGPD depuis le 25 mai 2018. Au-delà des obligations d’information et du droit d’opposition, la juriste a également souligné l’importance du besoin de minimisation lors de la collecte de données. « Il est primordial pour les employeurs de ne collecter et d’exploiter que ce qui est nécessaire en termes de données », a alerté Anne Renard. La durée de conservation et d’exploitation des données voyageurs doit également être communiquée au collaborateur. Si certains sont conformes aux exigences du RGPD, la juriste a précisé que les acteurs du Travel doivent tout de même veiller à la conformité de leurs prestataires avec le règlement européen, au risque d’être eux-mêmes pénalisés. « Une entreprise doit exiger un document contractuel qui garantit la mise en conformité avec le RGPD d’une agence de voyages ou d’un hôtel par exemple, et ce, même si le prestataire se situe en dehors du territoire européen », a conclu Anne Renard.

Le voyage d’affaires expose l’entreprise

Alors qu’une loi concernant le secret des affaires a été adoptée par le Parlement, les juristes ont démontré à quel point le voyage d’affaires expose parfois des données sensibles de l’entreprise. « Les agences de voyages savent tout de la vie des dirigeants du CAC 40 », a lancé Marie Soulez, responsable Propriété Intellectuelle avant de poursuivre : « il est nécessaire de s’interroger sur les dispositifs à mettre en place pour protéger le secret des affaires ». Bonne nouvelle pour les entreprises conformes avec le RGPD. D’après la juriste, les deux textes présentent quelques similarités. « La proposition de loi tente de définir le secret des affaires comme étant une donnée de l’entreprise présentant une valeur économique qui soit difficile d’accès et fasse l’objet de mesures de protection de la part de son détenteur pour en conserver le caractère secret », a expliqué Marie Soulez. Pour accéder à ce type de données, la juriste émet l’hypothèse selon laquelle le consentement du détenteur légitime du secret des affaires sera nécessaire.

S’il y a beaucoup de solutions à mettre en place pour y parvenir, la juriste alerte l’auditoire sur la nécessité d’anticiper au risque d’être sanctionné par la future loi. « Le non-respect de cette loi entraînera la destruction de l’ensemble des données, mais aussi des outils qui ont contribué à son traitement », a mis en garde Marie Soulez. Car lorsqu’un collaborateur ou un prestataire forme l’algorithme d’un chatbot par exemple en utilisant des données relevant du secret des affaires, il expose l’entreprise. Il pourra payer des dommages et intérêts ainsi que des indemnités.

« Pour limiter les risques, le premier réflexe est de faire signer un engagement de confidentialité à vos collaborateurs, vos prestataires et vos sous-traitants », a expliqué Marie Soulez. L’entreprise devra également ajouter une clause de confidentialité dans ses contrats. Elle peut être ajoutée en annexe pour les contrats déjà signés. « Il faut également veiller aux autorisations de traitement des données que vous fournissez à vos prestataires », a alerté la responsable Propriété Intellectuelle. Comme avec le RGPD, l’entreprise a pour obligation de mettre à disposition des outils de traitement des données dont la structure et l’architecture sont sécurisées. Il est également primordial de former le voyageur sur l’utilisation des outils dont il dispose. Que ce soit l’utilisation d’un chatbot ou la connexion au WiFi, il faut rappeler au voyageur que toute data en transit via un outil technologique présente un risque énorme pour le secret des affaires. « Il y a un important devoir d’information et de formation afin qu’à l’avenir les voyageurs d’affaires évitent par exemple de se connecter au WiFi de l’aéroport de Kuala Lumpur », a conclu Marie Soulez.

Photo d’ouverture : © TOM 

À lire aussi :

Previous post

#FBT18 : À quoi ressemblera le marché mondial du Voyage d’affaires en 2020-2025 ?

Next post

#FBT18 : Comment le prédictif va-t-il transformer l’expérience du voyageur d'affaires ?

No Comment

Leave a reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *