Думка готелів та особистих даних, настав час очистити Les Echos
Жертва все більшої кількості хакерів, готельна індустрія особливо піддається виклику захисту персональних даних.
Жертва масового злому бази даних, присвяченої замовленню своїх клієнтів, світовий лідер в готельному господарстві Marriott International (Westin, Le Méridien, Sheraton ...) щойно дізнався, чого кожна компанія найбільше боїться: порушення особистих даних.
Насправді у понад 500 мільйонів клієнтів по всьому світу в результаті несанкціонованого доступу з 2014 року були викрадені їх персональні дані (прізвище, ім’я, адреса, номер телефону, електронна адреса тощо).
Важко безпосередньо оцінити наслідки для репутації групи Marriott та впливу на рівень виснаження, але через шість місяців після набрання чинності загальним положенням про захист персональних даних (GDPR) це порушення резонує природним чином як шок хвиля в індустрії гостинності.
Захист персональних даних: головне питання для сектору
Порушення групи Marriott, на жаль, не є одиничним випадком (Piracy Darkhotel, художній готель Henry Jones в Хобарті на Тасманії, Romantik Seehotel Jaegerwirt в Австрії ...). Питання вже не в тому, чи повториться ця подія, а в тому, коли відбудеться наступний хакер, і в яких пропорціях.
Цей сектор стикається з основною проблемою: гарантуванням безпеки персональних даних під час боротьби з кіберзлочинністю. Сьогодні зацікавлені суб'єкти насправді не підвели підсумок питання, ризиків, притаманних персональним даним, та відповідальності, що покладається на них.
За даними IBM, нещодавні витрати на дослідження даних про порушення даних виявили, що середня вартість 50 мільйонів даних становить 350 мільйонів доларів. За таких пропорцій загальна вартість порушення Marriott може скласти 3,5 мільярда доларів.
За умови санкцій, передбачених GDPR, група Marriott International потенційно може загрожувати штрафом у розмірі 4% від її світового обороту, тобто приблизно 916 мільйонів доларів США, що майже еквівалентно фонду. Інвестиції, створені AccorHotels за допомогою Катару для розвитку готельна індустрія в Африці ...
У готелі є велика кількість персональних даних. Всього за кілька кліків клієнти можуть повідомити свою поштову адресу, дату народження та день народження пані чи пана. Після оформлення бронювання, таким чином, укладається договір довіри з готелем, який несе велику відповідальність за їх захист.
За такої логіки підзвітності потреба у захисті даних, природно, поширюється на постачальників послуг, партнерів та субпідрядників (центр бронювання, послуги консьєржа, ресторани тощо), щодо яких повинні виконуватися зобов'язання з точки зору безпеки та конфіденційності.
Атака на один із серверів Fastbooking (гравця в цифрових рішеннях для управління готелями), яка зачепила понад 1000 готелів 14 червня 2018 року, лише через 15 днів після набрання чинності GDPR, запрошує всі готелі розглянути розподіл відповідальності дуже серйозно.
У цій галузі це справжня складність, оскільки субпідрядникам досить важко узгодити контрактні положення контролера, які часто вважаються занадто обмежувальними. Тому вони воліють надавати перевагу власним умовам, які, якщо вони погано визначені, можуть законно викрити контролера.
Відповідність у секторі, що швидко змінюється
Одним із принципів GDPR є мінімізація персональних даних з метою збору лише тих, які відповідають цілком конкретній меті. Вимога, яку важко узгодити з очікуваннями замовника, який хоче отримати більш персоналізовану пропозицію.
Нові засоби зв'язку, будь то послуги електронних консьєржів, чат-боти як новий інструмент взаємодії з клієнтами, або інструменти, здатні централізувати миттєві комунікації (SMS, WhatsApp, Facebook Messenger тощо), вимагають підвищеної пильності.
Крім того, якщо готельєри та ресторатори мають систему відеоспостереження, вони повинні забезпечити, щоб вона використовувалась відповідно до нормативних актів, як з точки зору дотримання конфіденційності клієнтів, так і приватних працівників. Жодна інформація, що стосується особисто працівника, фактично не може бути зібрана пристроєм, який раніше не доводився до нього.
Як довго готелі можуть зберігати окремі поліцейські записи щодо іноземців, які перебувають у Франції? Що можна сказати про файли клієнтів CARDEX, які окрім контактних даних та історії бронювання, іноді можуть містити звички та уподобання клієнтів (улюблені напої, імена дітей, дієта тощо)? Які юридичні підстави будуть використані для обробки цих персональних даних ?
Хоча значна частина французького ринку відрізняється вагою незалежної готельної індустрії, більшість великих готельних мереж мають програму лояльності з високим рівнем проникнення. Ці програми пропонують більшу цінність для споживача і є справжніми маркетинговими інструментами. Програма лояльності Marriott International, яка має понад 1,2 мільйона номерів у понад 6700 готелях по всьому світу, є джерелом персональних даних, що вимагає особливої уваги.
Зіткнувшись із дедалі складнішими кібератаками, які поєднуються із дедалі більшим обсягом даних у дедалі більш оцифрованому середовищі, готельна індустрія повинна реагувати. Це заклик до відповідальності галузі, яка повинна вжити конкретних заходів для вирішення викликів. Це дасть змогу повністю виконати договір довіри з клієнтом і не дозволить йому спати лише одним оком.
Розшифруй світ згідно
Щодня написання Les Echos приносить вам достовірну інформацію в режимі реального часу. Це дає вам ключі до розшифровки новин та передбачення наслідків поточної кризи для бізнесу та ринків. Як розвивається ситуація зі здоров’ям? Які нові заходи готує уряд? Чи покращується діловий клімат у Франції та за кордоном ?
Ви можете розраховувати на те, що наші 200 журналістів дадуть відповідь на ці запитання, а також на аналізі наших найкращих підписів та відомих авторів, які повідомлять ваші думки.