Mise en conformité au RGPD : Questions réponses avec un professionnel de l’hôtellerie

Chef d’entreprise hôtelière :

L’actualité a évoqué récemment les déboires en termes de sécurité IT d’un grand groupe hôtelier. Comment cela a t-il pu se produire dans de telles proportions ?

Expert FCT :

Effectivement ce groupe hôtelier international a été la cible d’un des plus gros piratages de données de toute l’histoire de l’informatique. 500 millions de comptes clients ont été « visités », les passeports et autres cartes bancaires des clients ont été volés. Presque toutes les enseignes de ce groupe ont été touchées.

Chef d’entreprise hôtelière :

Le groupe hôtelier a t-il péché par négligence ?

Expert FCT :

Difficile à dire sans connaître les détails du dossier. Toujours est-il que des clients européens, dont des français ont été touchés.

Chef d’entreprise hôtelière :

Comment se protéger au mieux ?

Expert FCT :

Il y a deux aspects dans la réponse à apporter :

D’abord une mise en conformité au RGPD avec nomination d’une personne référente (le DPO - Data Protection Officer), l’inventaire des traitements IT opérés avec recensement dans un Registre des Traitements. Chaque traitement doit faire l’objet d’une analyse de risques plus ou moins poussée selon sa nature.

Chef d’entreprise hôtelière :

Et l’autre aspect ?

Expert FCT :

C’est la face sécurité IT. Une structure n’a pas obligation de se certifier ISO27001, mais doit mettre en place les mesures de sécurisation de ses données (surtout si celles-ci sont personnelles, voire sensibles). La sécurité IT est un peu le « bras armé » du RGPD.

Cette sécurité peut prendre la forme de chiffrement des données, leur pseudonymisation, l’installation d’un pare-feu, de proxy,..

Chef d’entreprise hôtelière :

Peut-on arriver à un risque zéro ?

Expert FCT :

C’est peu probable. Mais pour s’en approcher, deux étapes : respect du RGPD et des lois connexes, puis mise en place d’une politique de sécurité IT.

Une société qui propose, sur son site web, de rapprocher des personnes voulant construire leurs arbres généalogiques s’est fait pirater 95 millions de comptes. Fort heureusement les données (parfois ultra sensibles comme l’adn) étaient chiffrées !