La CNIL rappelle les règles encadrant le traitement des données bancaires des clients. Ces données doivent faire l’objet de mesures de sécurité particulières et leur conservation doit être limitée dans le temps. Ces rappels concernent aussi un grand nombre de professionnels disposant de fichiers clients.
Le contrôle sur place de la CNIL avait pour objet de vérifier le respect par un hôtel de ses obligations en matière de la gestion de ses fichiers « clientèle ».
Parmi les manquements relevés, il a été constaté: l’absence d’une politique d’effacement des données collectées (certaines données étaient conservées depuis près de quinze ans), des mesures de sécurité insuffisantes au regard de la nature des données enregistrées (numéros de carte bancaire notamment) et un défaut d’information des clients sur les conditions de traitement de leurs données et des droits qui leur sont reconnus par la loi (droit d’accès par exemple).
La Commission insiste sur la nécessité d’effacer les données bancaires une fois la transaction réalisée, c’est-à-dire après le paiement effectif. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse de numéros de cartes bancaires. Seul le consentement exprès du client, préalablement informé de l’objectif poursuivi (faciliter le paiement par les clients réguliers de l’hôtel) peut justifier que les données soient conservées plus longtemps.
En outre, toutes les mesures garantissant la sécurité et la confidentialité des informations doivent être prises: à savoir, protéger par des mots de passe l’accès aux fichiers « clientèle » et aux logiciels, chiffrer les données bancaires stockées et sécuriser les accès et les liaisons aux sites de gestion de réservations en ligne (login, mots de passe, protocole sécurisé).
La commission a déjà été amenée à se prononcer sur les modalités de stockage et d'utilisation du numéro de carte bancaire dans le secteur de la vente à distance (cf. recommandation n°03-034 du 19 juin 2003).
Enfin, la CNIL précise que les clients doivent être informés par des formulaires de réservation en ligne, par les factures ou par voie d’affichage, de l’identité du responsable des traitements, de leurs finalités, des destinataires des données, du caractère obligatoire ou facultatif des réponses et des modalités d’exercice des droits d’accès, de rectification et d’opposition.
A l’issue du contrôle, la CNIL a pris contact avec la société éditrice du logiciel hôtelier, qui l’a modifié de manière à chiffrer les données clientèles et bancaires. Cette société a également informé l’ensemble de ses clients sur leurs obligations légales en matière de protection des données personnelles.

Pour aller plus loin sur ce sujet, consultez la fiche : voyages, locations, agences  (9 adresses utiles et 4 livres disponibles) le dossier : loisirs, sports, vacances  (10 autres fiches à consulter) le site : CNIL - Commission Nationale de l'Informatique et des Libertés le site Guide des démarches