Le Règlement général sur la protection des données, ou
RGPD, supervise le traitement des données personnelles dans l'Union Européenne.
Les réglementations sur la protection des données
évoluent afin de s'adapter au nouveau monde numérique en constante évolution.
Cette nouvelle réglementation européenne renforce et
améliore le contrôle des individus sur l'utilisation de leurs données. Le RGPD
harmonise les règles au sein de l’Union Européenne en fournissant un cadre
juridique unique pour tous les pays de l'UE.
Le RGPD est applicable depuis le 25 mai 2018.
Attention! L’e-mail
marketing est régi par la Directive sur la Vie Privée et Communications Electroniques,
applicable dans toute l'UE et bientôt remplacée par le nouveau Règlement sur la
Vie Privée et Communications Electroniques. Le Règlement sur la Vie Privée et
Communications Electroniques est établi depuis 2018. Il aura autorité sur le
RGPD en ce qui concerne les règles spécifiques appliquées au e-marketing.
Quelle est la différence entre un
règlement et une directive ?
Une réglementation, contrairement à une directive, est
directement applicable dans toute l'Union Européenne sans nécessiter de
législation locale dans les différents États membres. Le même texte
s'appliquera donc dans toute l'UE, ce qui offre un meilleur niveau
d'harmonisation.
Qui est concerné(e) par le RGPD?
N'importe quelle entreprise, peu importe sa taille, son
lieu d'établissement ou son secteur d'activité, peut être concernée. En effet,
le RGPD s'applique à toute organisation, publique ou privée, qui traite des
données personnelles en son nom propre (responsable du traitement) ou pour le
compte d'un tiers (sous-traitant) si :
§ L'organisation est établie dans l'Union européenne
§ L'activité de l'organisation cible directement les
résidents européens.
Par exemple, une entreprise établie en France qui exporte
tous ses produits au Maroc pour ses clients du Moyen-Orient doit se conformer
au RGPD.
De même, une entreprise établie en Chine, proposant un
site de commerce électronique en plusieurs langues européennes et livrant des
produits en Europe, doit se conformer au RGPD.
Le RGPD concerne également les sous-traitants qui
traitent des données personnelles pour le compte d'autres organisations.
Mon hôtel est situé en dehors de
l'Union européenne, suis-je concerné(e) par le RGPD ?
Oui, car vous
proposez vos services à des personnes situées dans l'Union Européenne via le
site Web du groupe www.accorhotels.comou les sites de marques (ibis.com, mercure.com,
sofitel.com, etc.) qui sont disponibles en plusieurs langues européennes et sur
lesquels il est possible de payer en euros.
Le concept de "données personnelles" doit être
compris de manière très large.
Des "données personnelles" désignent
"toutes informations se rapportant à une personne physique identifiée ou
identifiable". Une personne peut être identifiée:
§ Directement (exemple : nom de famille, prénom), ou
§ Indirectement (exemple : numéro de client, numéro PMID,
numéro de téléphone, plusieurs éléments spécifiques à son identité physique,
etc.).
L'identification d'une personne physique peut être
réalisée :
§ Avec une seule donnée (exemple : numéro de sécurité
sociale, ADN),
§ En croisant différentes données (exemple: une femme
habitant à telle adresse, née tel jour, abonnée à tel magazine).
Par exemple, une base de données marketing contenant de
nombreuses informations précises sur l'âge, les goûts et le comportement
d'achat du client, est considérée comme un traitement de données personnelles,
car il est possible d'identifier une personne physique spécifique sur la base
de ces informations.
Qu'est-ce que la
"pseudonymisation" ?
La "pseudonymisation" est une technique qui
consiste à remplacer un identifiant (ou plus généralement des données personnelles)
par un pseudonyme, de sorte qu'il n'est plus possible d'attribuer des données à
une personne spécifique sans recourir à des informations supplémentaires. Cette
technique permet donc la réidentification ou l'étude des corrélations en cas de
besoins spécifiques. Les données "pseudonymisées" restent des données
personnelles soumises au RGPD (car elles peuvent être attribuées à une personne
physique), mais améliorent la sécurité de ces données.
Exemple : En se référant à un client en utilisant son
PMID (numéro de client interne à Accor), plutôt que ses prénom et nom, la
sécurité des données est améliorée. Pour quelqu'un à l'extérieur de
l'organisation, il sera plus difficile d'attribuer un PMID à une personne
spécifique.
Qu'est-ce que l'anonymisation ?
"L'anonymisation", contrairement à la
"pseudonymisation", est un mécanisme irréversible qui consiste à
supprimer tout caractère d'identification d'un ensemble de données. Cela
signifie que toutes les informations d'identification directes ou indirectes
sont supprimées ou modifiées, de sorte que toute réidentification d'une
personne physique est impossible.
Qu'est-ce qu'un traitement de
données à caractère personnel ?
La conception du traitement des données personnelles est
très large.
Un "traitement de données personnelles" est une
opération, ou un ensemble d'opérations, automatisées ou non, portant sur des
données personnelles, quel que soit le processus utilisé (collecte,
enregistrement, organisation, conservation, adaptation, modification,
extraction, consultation, utilisation, communication par diffusion,
transmission ou toute autre forme de mise à disposition, rapprochement).
Exemple: la tenue d'un dossier client, la collecte de
détails de prospects via un questionnaire ou un formulaire, la mise à jour d'un
fichier fournisseur, etc.
Cependant, un fichier contenant uniquement des
informations sur une entreprise (par exemple, l'entreprise "Entreprise
A" avec son adresse postale, le numéro de téléphone de sa réception et un
e-mail de contact générique "entrepriseA@email.fr") n'est pas un
traitement de données personnelles.
Un traitement de données personnelles n'est pas
nécessairement automatisé : les dossiers papier sont également concernés et
doivent être protégés dans les mêmes conditions.
Un traitement de données personnelles doit avoir un but,
c'est-à-dire que vous ne pouvez pas collecter ou traiter des données
personnelles simplement au cas où elles vous seraient utiles un jour.
Chaque traitement de données personnelles doit être
assigné à un but, qui doit être légal et légitime par rapport à l'activité
professionnelle.
Quels sont les grands principes
que je dois respecter si je suis concerné(e) par le RGPD ?
Ces 10 règles d'or énoncent les principes clés pour la
conformité avec le Règlement Général sur la Protection des Données (RGPD):
1. Je ne peux utiliser des données personnelles que si :
§ J'ai obtenu le consentement de la personne, OU
§ C'est nécessaire pour l'exécution d'un contrat auquel la
personne est engagée, OU
§ C'est nécessaire pour respecter une obligation légale, OU
§ C'est nécessaire pour protéger les intérêts vitaux de la
personne, OU
§ J'ai un intérêt légitime à utiliser des données
personnelles et je ne porte pas atteinte aux droits des personnes.
2. Je peux expliquer pourquoi j'ai besoin de telles
données personnelles.
3. Je n'utilise que les données personnelles dont j'ai
vraiment besoin. Si je peux obtenir le même résultat avec moins de données
personnelles, je dois le faire.
4. J'informe les personnes sur la manière dont j'utilise
leurs données personnelles.
5. Je permets aux personnes d'exercer leurs droits :
accès à leurs données personnelles, rectification, suppression et opposition à
l'utilisation de leurs données personnelles.
6. Je conserve les données personnelles pendant une durée
limitée.
7. J'assure la sécurité des données personnelles,
c'est-à-dire leur intégrité et leur confidentialité.
8. Si un tiers utilise des données personnelles, je dois
conclure un contrat écrit avec ce tiers et m'assurer de sa capacité à protéger
les données personnelles.
9. Si des données personnelles sont transférées en dehors
de l'Union Européenne (même via une simple consultation depuis un pays hors de
l’UE) : je dois encadrer ce transfert avec des outils juridiques spécifiques.
10. Si des données personnelles sont compromises
(perdues, volées, endommagées, indisponibles...) : je dois notifier cette
violation à l'autorité compétente si la violation est susceptible de présenter
un risque élevé pour ces individus et à la personne concernée.
NON
Selon le RGPD, le consentement de la personne dont les
données sont traitées n'est pas nécessaire lorsque ces données sont collectées :
§ Pour l'exécution d'un contrat (par exemple, contrat de
vente, location, emploi, etc.) ou de mesures précontractuelles (par exemple, un
devis, des pourparlers, etc.) auxquelles la personne concernée est partie.
§ Parce qu'un texte légal rend l'utilisation des données
obligatoire.
§ Pour l'exécution d'une mission d'intérêt public ou d'une
autorité publique.
§ Pour sauvegarder les intérêts vitaux d'une personne.
§ Pour poursuivre un intérêt légitime (par exemple,
prospection, prévention de la fraude, transferts au sein d'un groupe, sécurité
du réseau, etc.), sauf si les intérêts ou les libertés fondamentales de la
personne concernée prévalent.
Qu'est-ce qu'un responsable du
traitement des données?
C'est la personne, le service ou l'entreprise qui
détermine les finalités et les moyens du traitement des données personnelles.
Le responsable du traitement décide de mettre en œuvre le traitement des
données personnelles et en définit les conditions.
Le responsable du traitement est légalement responsable
de la conformité du traitement des données personnelles et veille au respect
des obligations.
Un traitement de données personnelles peut être mis en
œuvre conjointement par plusieurs responsables de traitement.
Par exemple, ACCOR est le responsable du traitement des
données personnelles des clients contenues dans sa base de données centrale,
les données étant soit collectées directement auprès des clients via des sites
web ou des centres d'appels, soit indirectement via des hôtels, des agences,
etc. et interconnectées avec le système central de réservation du groupe.
Qu'est-ce qu'un sous-traitant ? Quelles
sont ses obligations ?
La personne, le département, l'équipe de direction ou
l'entreprise qui traite des données personnelles pour le compte du responsable
du traitement. Il peut s'agir d'un prestataire de services (par exemple, un
éditeur de plateforme numérique, un fournisseur de communications
électroniques...).
Par exemple:
L'entreprise B est un sous-traitant de l'entreprise A
lorsqu'elle traite des données personnelles pour le compte, selon les
instructions et sous l'autorité de l'entreprise A.
L'entreprise A est le responsable du traitement.
Les sous-traitants peuvent être :
§ Les prestataires de services informatiques (hébergement,
maintenance, etc.)
§ Les intégrateurs de logiciels
§ Les entreprises de sécurité informatique
§ Les entreprises de services numériques lorsqu'elles ont
accès aux données
§ Les agences de marketing ou de communication qui traitent
des données personnelles pour le compte de clients.
Attention ! Les
fabricants de matériel (logiciel, lecteur de badge, matériel biométrique, etc.)
ne sont pas des sous-traitants car ils n'ont pas accès aux données personnelles
ni ne les traitent.
Un sous-traitant est un responsable du traitement pour le
traitement de ses propres fichiers, par exemple, son fichier d'employés.
Le sous-traitant a des obligations spécifiques en vertu
du RGPD concernant la sécurité, la confidentialité et la responsabilité. Le
sous-traitant doit conseiller le responsable du traitement sur le respect de
certaines obligations du RGPD (évaluation d'impact sur la vie privée,
violations de données, sécurité, suppression de données, contribution aux
audits).
Comment le RGPD affecte-t-il la
relation avec les fournisseurs de services ?
Lorsqu'une entité, en tant que responsable du traitement,
conclut un contrat avec un prestataire de services agissant en tant que
sous-traitant, le RGPD exige la conclusion d'un accord écrit dont les dispositions
obligatoires sont énumérées à l'article 28 du RGPD.
Ce contrat doit spécifier:
§ L'objet et la durée du traitement,
§ La nature et la finalité du traitement,
§ Le type de données personnelles et les catégories de
personnes concernées,
§ Les obligations et les droits du responsable du
traitement.
§ Les obligations du sous-traitant comprennent notamment:
ð Le
sous-traitant traite les données personnelles uniquement sur instructions
documentées du responsable du traitement.
ð Le sous-traitant
s'assure que les personnes autorisées à traiter les données personnelles se
sont engagées à la confidentialité ou sont soumises à une obligation légale
appropriée de confidentialité.
ð Le
sous-traitant prend toutes les mesures nécessaires pour garantir la sécurité
des données personnelles.
ð Le
sous-traitant ne peut engager un sous-traitant ultérieur sans obtenir au
préalable une autorisation écrite spécifique ou générale du responsable du
traitement.
ð Lorsque
le sous-traitant engage un autre sous-traitant pour effectuer des activités de
traitement spécifiques pour le compte du responsable du traitement, les mêmes
obligations de protection des données que celles stipulées dans le contrat
entre le responsable du traitement et le sous-traitant doivent être imposées à
cet autre sous-traitant par le biais d'un contrat.
ð Le
sous-traitant aide le responsable du traitement à répondre aux demandes des
personnes concernées pour exercer leurs droits.
ð Le
sous-traitant assiste le responsable du traitement pour garantir le respect des
obligations concernant l'évaluation de l'impact sur la vie privée, les
violations de données, la sécurité, la suppression de données et la
contribution aux audits.
ð À la
demande du responsable du traitement, le sous-traitant supprime ou restitue
toutes les données personnelles au responsable du traitement après la fin de la
prestation de services liée au traitement, et supprime les copies existantes.
ð Le
sous-traitant met à la disposition du responsable du traitement toutes les
informations nécessaires pour démontrer le respect de ses obligations,
permettre et contribuer aux audits, y compris aux inspections, effectués par le
responsable du traitement ou un autre auditeur mandaté par le responsable.
Qu'est-ce que le respect de la
vie privée dès la conception d’un projet et par défaut?
Le concept de "Privacy by Design" vise à
garantir que la protection des données personnelles est prise en compte dès la
phase de conception d'un projet et tout au long de son exécution.
Pour chaque nouvelle application, produit ou service
traitant des données personnelles, les entreprises doivent offrir à leurs
utilisateurs ou clients le niveau de protection le plus élevé possible de leurs
données.
Le "Privacy by Default" consiste à prendre des
mesures techniques et organisationnelles appropriées pour garantir que, par
défaut, la plus grande protection des données personnelles est assurée.
Exemples de mesures:
§ Minimiser la quantité de données personnelles traitées.
§ Assurer la transparence du traitement.
§ "Pseudonymiser" les données personnelles dès
que possible.
§ Mettre en place des mesures de sécurité et les améliorer
en continu.
Quelles sont les mesures de
sécurité des données à mettre en œuvre?
Le responsable du traitement et le sous-traitant doivent
mettre en œuvre des mesures techniques et organisationnelles appropriées pour
garantir un niveau de sécurité adapté au risque, comprenant, le cas échéant:
(a) La "pseudonymisation" et le chiffrement des
données personnelles ;
(b) Des mesures assurant la confidentialité, l'intégrité,
la disponibilité et la résilience continues des systèmes et services de
traitement;
(c) Des mesures pour rétablir la disponibilité et l'accès
aux données personnelles en temps utile en cas d'incident physique ou
technique;
(d) Une procédure pour tester, analyser et évaluer
régulièrement l'efficacité des mesures techniques et organisationnelles visant
à assurer la sécurité du traitement.
Par exemple :
§ Mesures de sécurité physique : sécurité de l'accès aux
locaux.
§ Mesures de sécurité informatique : antivirus, sécurité
des mots de passe, etc.
Le responsable du traitement et le sous-traitant doivent
également veiller à ce que seuls les destinataires autorisés puissent accéder
aux données.
À noter : le recours
à un sous-traitant ne décharge pas le responsable du traitement de son
obligation en matière de sécurité et de confidentialité.
Attention : la
communication d'informations à des personnes non autorisées, voire leur
divulgation imprudente de données personnelles, peut être sanctionnée.
Qu'est-ce que l'obligation de
rendre compte?
Le RGPD introduit un nouveau concept : le
principe de responsabilité.
L'objectif principal de ce principe est de
rendre le responsable du traitement activement responsable de la conformité du
traitement des données.
La responsabilité fait référence à
l'obligation pour les entreprises de mettre en place des mécanismes et des
procédures internes appropriés (mesures techniques et organisationnelles) pour
garantir que le traitement des données personnelles est effectué conformément
au RGPD et être en mesure de démontrer cette conformité.
Les entreprises doivent mettre en œuvre des
mesures efficaces et appropriées pour respecter le RGPD, mais aussi identifier
et documenter ces mesures prises afin de présenter les preuves à une autorité
de contrôle.
Qu'est-ce qu'une Etude d’Impact
sur la Vie Privée (EIVP)?
Lors du traitement de données susceptibles d’entraîner un
risque élevé, le responsable du traitement doit procéder à une analyse complète
de l’impact sur la confidentialité des données, indiquant les caractéristiques
du traitement, les risques et les mesures adoptées.
Cela concerne le traitement de données sensibles (données
révélant l'origine raciale ou ethnique, les opinions politiques, philosophiques
ou religieuses, l'appartenance syndicale, la santé ou l'orientation sexuelle,
les données génétiques ou biométriques), ainsi que le traitement de données
basé sur "l'évaluation systématique et approfondie d'aspects personnels
relatifs à des personnes physiques qui repose sur un traitement automatisé,
c'est-à-dire le profilage".
Qu'est-ce qu'une violation des
données?
Il s'agit d'une violation de la sécurité entraînant la
destruction, la perte, l'altération accidentelle ou illicite, la divulgation
non autorisée de données personnelles transmises, stockées ou traitées d'une
autre manière, ou l'accès non autorisé à de telles données.
Qu'est-ce qu'un DPD, quand est-il
nécessaire d'en avoir un et à quoi doit-il servir?
DPD signifie Délégué à la Protection des Données, un
nouveau poste spécifiquement créé par le RGPD.
Les responsables du traitement et les sous-traitants
doivent nommer un DPD si :
§ Ils appartiennent au secteur public.
§ Leurs activités principales les conduisent à surveiller
régulièrement et systématiquement les personnes à grande échelle.
§ Leurs activités principales les amènent à traiter
(toujours à grande échelle) des données sensibles ou des données relatives à
des condamnations pénales et infractions.
En dehors de ces cas, la désignation d'un DPD est
toujours possible. Le DPD doit :
§ Informer et conseiller le responsable du traitement ou le
sous-traitant et ses employés;
§ Surveiller le respect du RGPD et du droit national en
matière de protection des données;
§ Conseiller l'organisation sur la mise en œuvre d'une Etude
d’Impact sur la Vie Privée(EIVP)
et vérifier son exécution ;
§ Etre le point de contact et coopérer avec l'autorité de
contrôle.
Accor a nommé un DPD et chaque Business Unit a un
Coordinateur Régional de la Protection des Données.
Si vous avez des questions, vous pouvez contacter votre
CRPD (veuillez consulter la liste des CRPD).
Pour le siège social (DPD) : accorhotels.data.protection.officer@accor.com
Quels sont les risques de
non-conformité au RGPD?
Les responsables du traitement et les sous-traitants
peuvent être soumis à des sanctions administratives significatives en cas de
non-conformité aux dispositions du RGPD.
Les amendes administratives peuvent atteindre, selon la
catégorie de l'infraction, de 10 millions d'euros à 20 millions d'euros ou,
dans le cas des entreprises, de 2% à 4% du chiffre d'affaires mondial annuel,
le montant le plus élevé étant retenu.
Autres risques pour les responsables du traitement et les
sous-traitants : un risque d'image et de réputation pouvant entraîner une perte
de clients.
Quelles sont les conséquences du
Brexit sur l'application du RGPD au Royaume-Uni?
La procédure de sortie est prévue pour se terminer le 29
mars 2019. Jusqu'à cette date, le Royaume-Uni reste un État membre de l'Union Européenne.
Le bureau du commissaire à l'information, l'autorité de
surveillance du Royaume-Uni, a indiqué que le RGPD entrera en vigueur au
Royaume-Uni le 25 mai 2018, comme dans tous les États membres de l'Union
européenne.
Le RGPD a-t-il un impact sur
l'e-marketing?
NON ! Aussi surprenant que cela puisse paraître, il
n'existe pas de dispositions spécifiques applicables au e-marketing dans le
RGPD. Le RGPD n'affecte pas les règles déjà en vigueur en matière de
e-marketing, que ce soit en B2C ou en B2B.
Le e-marketing est régi par la directive e-Privacy, qui
est applicable dans toute l'Union Européenne et sera bientôt remplacée par le
nouveau règlement e-Privacy.
Le règlement e-Privacy établi en 2018 prévaut sur le RGPD en ce qui concerne
les règles spécifiques applicables au e-marketing.
Selon la directive e-Privacy :
I) L’e-marketing nécessite le consentement préalable du
destinataire (Opt-in).
II) Par exception, un tel consentement n'est pas
nécessaire (Opt-out) si :
§ Les coordonnées du destinataire ont été directement
collectées auprès de lui à l'occasion d'une vente ou de la fourniture d'un
service.
§ La communication concerne des produits ou services
similaires à ceux déjà fournis par l'entreprise.
§ Lors de la collecte des coordonnées, le client a été
informé de l'utilisation de ses coordonnées pour le e-marketing.
§ Le client a clairement et expressément la possibilité de
s'opposer, sans frais et de manière simple, à une telle utilisation :
ð Lors de
la collecte de ses coordonnées, et
ð Lors de
chaque communication ultérieure de e-marketing.
III) Dans tous les cas, chaque e-mail doit :
§ Spécifier l'identité de l'annonceur, et
§ Proposer un moyen simple de s'opposer à la réception de
nouvelles demandes (par exemple, via le lien de désinscription à la fin du
message).
Attention : Si vous envoyez des e-mails vous-même, placez toujours
les destinataires de vos e-mails en copie cachée !
Quelles sont les mesures à
prendre pour protéger les données des employés?
De nombreuses données personnelles relatives aux employés
sont nécessaires pour gérer leur carrière. Par exemple, vous avez besoin de
nombreuses informations pour garantir :
§ La rémunération et les déclarations sociales
obligatoires.
§ La gestion administrative du personnel.
§ L'organisation du travail.
Demandez à vos employés uniquement les informations
utiles à l'exercice de leurs fonctions et évitez le traitement de données
sensibles (activité syndicale, opinions politiques, religion, origine ethnique,
santé).
Si vous devez traiter des données sensibles, des
obligations spéciales s'appliquent. Contactez le DPD (pour le siège social) ou
le CRPD dans votre région (pour les unités opérationnelles).
Assurez-vous de garantir la confidentialité et la
sécurité des données personnelles de vos employés. Seules les personnes
autorisées doivent avoir accès à ces données personnelles.
La conformité des outils "centraux" est gérée
par les équipes centrales (c'est-à-dire Tars, ResaWeb, le programme de
fidélité, HotelLink, etc.).
La conformité de l'utilisation des données personnelles
par les hôtels relève de leur responsabilité (c'est-à-dire les données RH, les
données PMS, etc.).
Pour vous aider, le Groupe publiera des directives sur
les mesures à mettre en place pour traiter les données personnelles en
conformité avec le RGPD.
Dans le cas où un ou plusieurs employés du client
professionnel effectuent une réservation à un tarif préférentiel conformément
au contrat avec ce client professionnel, ACCOR et l'hôtel agissent ici en tant
que responsables du traitement des données personnelles de ces employés.
Le client professionnel reste le responsable du
traitement des données pour le traitement des données personnelles de ses
employés aux fins de la gestion des voyages et des déplacements.
Par conséquent, le contrat entre un bureau des ventes ou
un hôtel avec un client professionnel doit spécifier que chaque partie
s'engage, en tant que responsables du traitement, à collecter, traiter et
stocker les données personnelles à des fins propres, en conformité avec la
réglementation sur la protection des données.
Il n'est donc pas nécessaire d'adopter des mesures
contractuelles spécifiques (comme indiqué à l'article 28 du RGPD), car ni ACCOR
ni la BU ou l'hôtel ne traitent les données personnelles au nom du client
professionnel.
Attention ! Si un
client professionnel vous envoie un document prévoyant un sous-traitement de
données personnelles entre un responsable du traitement et un sous-traitant, ce
document n'est pas applicable à votre situation.
ð Contactez le service juridique du groupe si ACCOR est partie au contrat : un modèle de clause
vous sera envoyé.
ð Contactez le CRPD si un bureau de vente local gère la
relation avec le client professionnel: un modèle de clause vous sera envoyé.
Nous travaillons actuellement sur la mise à jour des
modèles de contrat !
Selon les règles du e-marketing : le destinataire doit avoir
été informé de l'utilisation qui sera faite de son adresse e-mail au moment de
la collecte et du droit de s'y opposer, sauf dispositions locales spéciales.
Dans tous les cas, chaque e-mail doit :
§ Spécifier l'identité de l'annonceur, et
§ Proposer un moyen simple de s'opposer à la réception de
nouvelles demandes (par exemple via le lien de désinscription à la fin du
message).
Attention ! Si vous
envoyez des e-mails vous-même, mettez toujours les destinataires de vos e-mails
en copie cachée !
Où puis-je trouver les politiques
et procédures du groupe en matière de protection des données?
Nous sommes actuellement en train de mettre en place une
page intranet dédiée. Vous y trouverez toutes les informations nécessaires.
Vous pouvez déjà consulter la charte des données
personnelles des clients sur le site www.accorhotels.com via ce lien: https://www.accorhotels.com/security-
certificate/index.en.shtml
Qui puis-je contacter pour des
questions relatives à la protection des données?
Pour le siège social: accorhotels.data.protection.officer@accor.comPour les BU: le RDPC