HotSoft Conformité RGPD FAQ

Cette FAQ s’adresse aux client de Hoist Group qui utilisent HotSoft 7, HotSoft 8, HotSoft en ligne et/ou Serviator. Elle est destinée à fournir un aperçu de base des efforts de conformité RGPD de Hoist Group et à prévisualiser les informations que vous avez le droit de connaître en tant que contrôleur de données.

Introduction 

Le 25 mai 2018, la réglementation générale sur la protection des données (RGPD) est entré en vigueur dans l’UE. Celles-ci s’appliquent à Hoist Group et à tous ses clients. L’idée derrière la RGPD est que les informations personnelles (“sujets des données”) doivent être sous le contrôle de la personne concernée. Hoist Group est d’accord avec cela.

La RGPD exige que les informations sur les personnes (“données sur le sujet”) soient protégées contre le vol physique et technique. Elle vise à mettre les gens (“sujets des données”) en charge de leurs propres données. La RGPD exige que la circulation des données de sujet entre les entreprises soit transparente et expliquée dans un contrat et que les entreprises n’exportent des données hors de l’UE que dans certaines circonstances sécurisées.

La RGPD exige que les entreprises aient la capacité de :

  • supprimer les données à la demande du sujet des donnée;
  • corriger les données à leur demande, et;
  • fournir au sujet des données une copie des informations qu’ils détiennent.

La RGPD exige que les entreprises documentent leurs efforts pour suivre les données du sujet, instituer des politiques pour protéger ces données, et pour certaines entreprises, la RGPD exige qu’elles installent un agent de protection des données. La RGPD exige qu’il soit facile de savoir quelles données une entreprise détient et avec qui elle les partage.

Tout au long de l’année 2017, Hoist Group a fait appel à des consultants juridiques externes pour vérifier ses produits et processus de conformité à la RGPD, et a soigneusement équilibré, conformément à la réglementation, la nécessité de protéger les données avec les intérêts commerciaux de ses clients.

Mis à jour du contrat

La RGPD exige que certaines informations soient communiquées entre les processeurs de données et les contrôleurs de données dans leurs contrats. Hoist Group a préparé un supplément de contrat conforme qui fournit cette information. Il sera publié en janvier. Les contrats ont des instructions logicielles qui leur sont attachées, qui doivent être suivies.

Instructions de la RGPD pour PMS

Quel est l’état de conformité des produits HotSoft ?

HotSoft Online : Pour que HotSoft Online soit conforme, les contrats de HoistGroup avec ses clients doivent être mis à jour. Nous avons également mis à jour notre politique de confidentialité pour HotSoft Online, qui est déjà actif sur tous les sites utilisant HotSoft Online.

HotSoft 8 : Pour que HotSoft 8 soit conforme, les contrats de Hoist Group avec ses clients doivent être mis à jour. Nous prévoyons publier cette mis à jour en janvier. Etant donné que HotSoft 8 n’est pas un programme orienté client, il n’est pas nécessaire d’appliquer une politique de confidentialité.

HotSoft 7: HotSoft 7 est un produit plus ancien qui n’a pas la capacité idéale de journalisation et de suppression. Afin d’utiliser HotSoft 7 de la manière la plus conforme possible, il est essentiel que tous les clients suivent les instructions logicielles qui seront émises pour HotSoft 7 en janvier, avec sa mise à jour du contrat. En fin de compte, il est prévu d’interrompre HotSoft 7.

Quel est le problème avec HotSoft 7 ?

La technologie évolue rapidement tout comme la définition d’une appropriation technique et physique de protection des données. HotSoft 7 n’a pas les protections de pointe que nous aimerions voir, donc nous supprimons progressivement le produit.

Les problèmes avec HotSoft 7 sont :

Connexion : La RGPD exige que les données soient protégées, ce qui comprend l’utilisation d’un moyen raisonnable de contrôler l’accès aux données. Dans un système parfaitement conforme, chaque utilisateur aurait un mot de passe protégé de connexion et il serait possible de savoir quel utilisateur de HotSoft a changé chaque donnée.

Correction : Il y a différents moyens que vous pouvez prendre pour combler cette lacune de conformité. Vous pouvez conserver un tableur Excel qui permettra de conserver vos données si jamais elles sont volées. Vous pouvez (et devriez) faire signer à vos employés et contracteurs des accords de confidentialité qui les obligent à garder les données du sujet confidentielles.

Suppression : HotSoft 7 ne supprime pas vraiment les données. La RGPD vous oblige à supprimer les données dont vous n’avez plus besoin. Mais dans le monde de l’hôtellerie, les connexions avec les clients peuvent durer longtemps ! C’est à vous en tant que contrôleur de données de supprimer les données dont vous n’avez plus besoin. Les instructions logicielles qui art.1 de votre supplément de contrat expliqueront comment supprimer les données.

Remarque : Hoist Group soutiendra votre transition vers HotSoft 8, car il est prévu d’interrompre HotSoft 7. Veuillez contacter votre bureau local pour plus d’informations sur la mise à niveau vers HotSoft 8.

Quelles données puis-je collecter avec HotSoft ?

Tous les produits HotSoft recueillent les données suivantes :

  • Nom
  • Nationalité
  • Informations d’ID
  • Adresse e-mail
  • Adresse postale
  • Sexe
  • Date de voyage prévues

Le type de données recueillies est à votre discrétion. Par exemple, à des fins de marketing, HotSoft vous permet de collecter :

  • Projet
  • Méthode
  • Catégorie
  • Intérêts
  • But du voyage
  • Segment

Le RGPD offre une protection supplémentaire à ce qu’on appelle des “informations sensibles” sur des choses comme l’ethnicité, l’état de santé et l’appartenance religieuse. Les produits HotSoft ne sont pas conçus pour vous permettre de collecter des informations sensibles.

Comment les données collectées par HotSoft sont-elles protégées ?

Tout d’abord, HotSoft est système propriétaire, de sorte que les données volées de celui-ci sont illisibles sans une copie du programme. Toutefois, les données du sujet peuvent être téléchargées à partir de HotSoft 7 et HotSoft 8.

Deuxièmement, pour les clients du cloud HotSoft 8, les données collectées sont conservées dans un centre de données sécurisé en Suède qui dispose de mesures physiques et techniques à jour pour la protection, y compris les portes verrouillées, les passes d’iD pour la sécurité, la vidéosurveillance et l’accès contrôlé.

Mais surtout, les données collectées par les produits HotSoft doivent être protégées par votre personnel. L’erreur humaine est la principale cause de violations de données, mais de bonnes habitudes peuvent limiter l’erreur humaine. Assurez-vous que les écrans portant des informations HotSoft ne sont pas visibles par la clients de l’hôtel. Vous avez la capacité de télécharger ou d’imprimer des rapports de données client agrégées. Une fois que ces rapports sont téléchargées, les données sont sous votre contrôle absolu. Vous êtes tenu de garder ces rapports confidentiels.

Mon hôtel est-il un traiteur de données ou un contrôleur de données ?

Puisque vous décidez quelles données vous collectez et que vous avez la relation avec le client de l’hôtel dont vous collectez les données, en vertu du RGPD (inchangé par apport aux lois précédentes sur la protection des données), vous êtes le contrôleur de données et Hoist Group est le traiteur de données. Cela signifie que vous dirigez et contrôlez les données collectées et la façon dont elles sont stockées. Cela signifie également que vous avez le droit d’exiger que Hoist Group traite les données en votre nom en toute sécurité avec toute la sécurité technique et physique demandée par l’industrie.

Lorsque vous utilisez HotSoft 8, Serviator et HotSoft Online avec notre service cloud supplémentaire, les données de vos clients sont traitées dans notre centre de données en Suède. Le centre de données est conforme au RGPD et sécurisé. Les données sont sauvegardées. Si HotSoft 7, HotSoft 8 ou Serviator est installé localement sur votre site, ou est d’une autre façon en dehors de notre environnement cloud, Hoist Group ne vous a vendu que des logiciels, et donc ne détient et traite activement les données du client que lorsque, par exemple, la maintenance.

Quels sont mes droits et devoirs en tant que contrôleur de données ?

Vous avez le droit de connaître toute personne avec qui Hoist Group partage les données du client. Hoist Group ne partage que les données du client que sous votre direction, le contrôleur de données.

En tant que contrôleur de données, vous avez le droit de savoir exactement quand Hoist Group traite les données de l’objet de vos clients et ce que nous en faisons.

Hoist Group traite les données du client :

  • lors de la fourniture d’une assistance de maintenance ou de secours sur le logiciel sous licence,
  • lorsque les données sont hébergées sur notre serveur en Suède, et qu’un client final effectue une réservation à l’aide d’HotSoft Online.

Informations de paiement : HotSoft ne prend pas les informations de paiement des sujets de données. HotSoft héberge les méthodes de paiement de tiers, et fournit uniquement l’interface en vertu de laquelle un tiers de votre choix prend le paiement en votre nom. Les interfaces HotSoft de Hoist Group sont conformes PCI.

Pour votre information : Dans le secteur de l’hôtellerie, les plus grands problèmes de protection de données à ce jour ont été avec les interfaces de paiement aux points de vente (POS) dans les hôtels.

Notification de violation : En cas de violation de votre système et de vol de données, vous pouvez avoir l’obligation d’informer une autorité de surveillance ou d’informer les sujets de données concernés. Hoist Group vous informera dans les 72 heures dans le cas peu probable qu’il y ai violation du stockage Cloud, et vous aidera à déterminer vos obligations de notification.

Durée de traitement : Vous avez le droit de savoir combien de temps un traiteur de données traitera vos données. Hoist Group continuera de traiter les données en question jusqu’à la résiliation de son contrat avec vous. 

Demande d’accès aux sujets 

Le RGPD donne aux gens certains droits d’accéder, de corriger, de déplacer, d’effacer ou de transférer leurs données. Il incombe au contrôleur des données de se conformer aux demandes des gens concernant leurs données et de leur fournir leurs propres données dans un format commun lisible électroniquement.

Hoist Group vous aidera autant que possible, mais en tant que traiteur de données Hoist Group n’a pas plus de données que vous en tant que contrôleur, et les sujets des données sont susceptibles de vous faire ces demandes. Vous devez fournir au sujet des données une copie des données qu’il demande, après avoir vérifié l’identité de ce sujet.

Vous devez également supprimer les données d’un sujet de données à sa demande. Les instructions logicielles fourniront plus de détails.

Dois-je obtenir le consentement de chaque client ?

Chaque fois que vous collectez des données, vous devez avoir une base légale pour le faire. L’un des fondements du consentement est l’exécution d’un contrat. Vous avez un contrat avec votre client pour fournir des services hôteliers. Vous pouvez collecter les données dont vous avez besoin pour effectuer ce contrat et HotSoft fournit les moyens pour vous de le faire et tout cela est parfaitement conforme au RGPD sans consentement.

Vous pouvez même utiliser l’e-mail de cet invité pour lui envoyer de nouvelles offres et promotions que votre hôtel offre. Si vous faites cela, le client doit être en mesure de se désabonner facilement, et les nouvelles doivent être seulement sur l’hôtel où le client à séjourné et pas n’importe quel autre hôtel de la société.

Si vous souhaitez collecter les données de vos clients et les vendre à des tiers, vous avez besoin du consentement explicite de vos clients. C’est entre vous et votre client et est au-delà de la portée de HotSoft.

HotSoft 8 a une fonctionnalité spécifique pour suivre le consentement, ce n’est pas disponible dans HotSoft 7 et doit être fait manuellement.

Quelles sont les obligations de Hoist Group envers mon hôtel ?

  • Hoist Group convient que tout son personnel qui accède aux données de HotSoft sera soumis à des obligations de confidentialité appropriées et n’accèdera aux données que sur vos instructions écrites, ou à des fins de maintenance ou de secours.
  • Hoist Group convient que l’accès à HotSoft est soumis à des mesures de sécurité conforme au RGPD et au cryptage.
  • Hoist Group supprimera toutes les données HotSoft associées à votre contrat à la résiliation de dernier, y compris les copies de sauvegarde de ces données.
  • Hoist Group démontrera la conformité RGPD comme vous lui avez raisonnablement demandé.
  • Hoist Group ne déléguera pas le traitement à un sous-traitant sans votre consentement écrit.
  • Hoist Group est tenu de mettre en œuvre, et a mis en œuvre, des mesures techniques et organisationnelles appropriées afin de répondre aux exigences du RGPD.
  • Hoist Group protège tous les droits des sujets de données.
  • Hoist Group, à la demande du client, supprimera ou retournera les données du sujet à l’hôtel après la fin de la fourniture de services relatifs au traitement et supprimera toutes les copies supplémentaires de ces données.

Instructions PMS RGPD 

Avertissement 
Il s’agit de la meilleure réflexion juridique et technique sur le RGPD en ce qui concerne les produits HotSoft. Cette FAQ est un document précédent le supplément de contrat Hoist Group qui sera émis en Janvier pour les clients HotSoft. Pour utiliser HotSoft d’une manièer conforme au RGPD, il est essentiel que vous suiviez les instructions logicielles App.1 pour votre produit. Dans un esprit de transparence et de communication entre les traiteurs et les contrôleurs, Hoist Group partage ces informations avec vous, nos clients HotSoft. Cependant, Hoist Group ne peut pas donner à votre hôtel des conseils juridiques et, en fin de compte, votre conformité est de votre responsabilité.