RGPD et agence de voyage : le guide 2026
RGPD agence de voyage : passeports, transferts hors UE (art. 49), données de santé, mineurs, listes voyageurs. Bases légales et durées de conservation.
- Ce qui rend l’agence de voyage particulière au regard du RGPD
- Le statut de l’agence : responsable de traitement, rarement sous-traitant
- Les bases légales à mobiliser
- Le point critique : les transferts hors UE
- Les passeports et documents d’identité
- Les mineurs et les listes de voyageurs
- Durées de conservation
- Information et droits des voyageurs
- Erreurs fréquentes et sanctions
- FAQ
L’essentiel. Une agence de voyage est responsable de traitement pour les données de ses clients (identité, passeport, coordonnées, moyens de paiement, parfois données de santé et mineurs). Sa difficulté propre : les transferts de données vers des hôtels, compagnies aériennes et prestataires situés dans des pays tiers sont intrinsèques au produit vendu. Ils reposent le plus souvent sur les dérogations de l’Art. 49 du RGPD (contrat conclu dans l’intérêt du voyageur), à condition qu’ils restent occasionnels ; les flux systématiques vers un GDS ou une plateforme de réservation exigent, eux, de vrais outils de l’article 46. Voici le cadre complet.
Le secteur du tourisme a une particularité que peu de commerces partagent : il ne peut pas exécuter sa prestation sans envoyer les données de ses clients à l’étranger, souvent hors de l’Union européenne. Réserver une nuit d’hôtel à Marrakech, un vol sur une compagnie du Golfe ou une excursion au Pérou suppose de transmettre le nom, la date de naissance et parfois le numéro de passeport du voyageur à un prestataire situé dans un pays tiers. Dans les audits que je mène auprès d’agences et de tour-opérateurs, cette réalité est presque toujours sous-estimée : on encadre le CRM et le site web, mais on oublie que le cœur même du métier repose sur des transferts internationaux de données personnelles. C’est précisément là que se situe le risque, et c’est ce que ce guide traite en priorité.
Ce qui rend l’agence de voyage particulière au regard du RGPD
Trois caractéristiques structurent l’analyse.
Des données d’identité renforcées. Contrairement à un commerçant classique, l’agence collecte des données d’identification « fortes » : nom tel qu’il figure sur les documents de voyage, date et lieu de naissance, nationalité, numéro et validité de passeport ou de carte d’identité, parfois numéro de visa. Ces éléments sont des données personnelles au sens de l’Art. 4(1) du RGPD et, mal protégés, constituent une matière première idéale pour l’usurpation d’identité.
Des données de santé fréquentes. Une allergie alimentaire signalée pour un repas à bord, une demande d’assistance pour mobilité réduite (PMR), un régime médical spécifique, une information transmise à l’assurance annulation : ce sont des données sensibles au sens du RGPD, relevant de l’Art. 9(1). Leur traitement est interdit par principe, sauf exception de l’Art. 9(2) — le plus souvent le consentement explicite du voyageur.
Des transferts hors UE consubstantiels. C’est le point différenciant. L’agence ne choisit pas d’exporter les données : le produit lui-même (un séjour à l’étranger) l’impose. Le régime des transferts internationaux du chapitre V du RGPD s’applique donc à chaque dossier, ce qui n’est le cas d’aucun commerce de proximité.
Le statut de l’agence : responsable de traitement, rarement sous-traitant
L’agence de voyage qui détermine pourquoi et comment elle traite les données de ses clients est responsable de traitement au sens de l’Art. 4(7). Cela vaut pour l’agence distributrice comme pour le tour-opérateur organisateur.
La relation entre distributeur (l’agence qui vend) et organisateur (le tour-opérateur qui conçoit le forfait) mérite attention. Au sens du Code du tourisme, ce sont deux professionnels distincts. Au sens du RGPD, ils sont en général chacun responsable de traitement pour ses propres finalités : l’agence pour la relation client et la vente, le tour-opérateur pour l’organisation du voyage. Il ne s’agit ni d’une sous-traitance, ni systématiquement d’une responsabilité conjointe. Dans certains montages (marque blanche, mandat exclusif), une qualification de responsabilité conjointe au sens de l’Art. 26 peut se justifier — l’analyse doit être menée au cas par cas et formalisée par écrit.
Vis-à-vis de ses prestataires techniques en revanche, l’agence est responsable de traitement et ces prestataires sont ses sous-traitants : logiciel de réservation en SaaS, CRM, hébergeur, plateforme d’emailing, prestataire de paiement, centre d’appels externalisé. Un contrat conforme à l’Art. 28 du RGPD est obligatoire avec chacun. Pour cadrer ces relations, un questionnaire d’évaluation des sous-traitants est un bon réflexe avant tout engagement.
Les bases légales à mobiliser
La base légale se choisit finalité par finalité.
| Finalité | Base légale (Art. 6) | Remarque |
|---|---|---|
| Réservation et exécution du voyage | Art. 6(1)(b) — exécution du contrat | Cœur de l’activité |
| Facturation, comptabilité | Art. 6(1)© — obligation légale | Conservation fiscale |
| Lutte contre la fraude au paiement | Art. 6(1)(f) — intérêt légitime | Documenter le triple test |
| Prospection clients existants | Art. 6(1)(f) — intérêt légitime | Voir règles prospection |
| Prospection de non-clients (email/SMS) | Art. 6(1)(a) — consentement | Opt-in préalable |
| Données de santé (PMR, allergies) | Art. 9(2)(a) — consentement explicite | En plus de la base Art. 6 |
Le point clé : pour les données de santé, il faut deux étages, une base de l’Art. 6 et une exception de l’Art. 9. Le consentement explicite est presque toujours la voie retenue, ce qui suppose une case dédiée et non pré-cochée, avec information claire sur la transmission de l’information à la compagnie ou au prestataire concerné.
Le point critique : les transferts hors UE
C’est le sujet qui distingue l’agence de voyage de tout autre commerce. Dès qu’un hôtel, une compagnie aérienne, un réceptif local ou un loueur situé hors de l’Espace économique européen reçoit les données du voyageur, il y a transfert international soumis au chapitre V du RGPD.
Cas n° 1 — le pays tiers bénéficie d’une décision d’adéquation. Certains pays disposent d’une décision d’adéquation de la Commission européenne (Royaume-Uni, Suisse, Japon, Canada pour le secteur privé, entre autres). Le transfert s’effectue alors comme au sein de l’UE, sans formalité supplémentaire.
Cas n° 2 — pays tiers sans adéquation, flux occasionnel. Pour la majorité des destinations, il n’existe pas de décision d’adéquation. L’agence s’appuie alors le plus souvent sur les dérogations de l’Art. 49, en particulier :
- Art. 49(1)(b) : le transfert est nécessaire à l’exécution du contrat entre le voyageur et l’agence ;
- Art. 49(1)© : le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt du voyageur entre l’agence et un tiers (l’hôtel, le transporteur).
C’est ce fondement que retiennent la plupart des professionnels pour transmettre à un hôtel tunisien ou à un réceptif thaïlandais les données strictement nécessaires au séjour. Mais attention : les lignes directrices du CEPD relatives aux dérogations de l’article 49 (2018) rappellent que ces dérogations doivent être interprétées restrictivement et rester occasionnelles et non répétitives. Elles ne peuvent pas servir à couvrir un flux massif et structurel.
Cas n° 3 — flux systématiques et massifs. Dès que le transfert devient répétitif et de grande ampleur — connexion permanente à un GDS (Amadeus, Sabre…), plateforme de réservation centralisée, prestataire cloud établi hors UE — la dérogation de l’Art. 49 n’est plus adaptée. Il faut alors mobiliser un outil de l’Art. 46 : clauses contractuelles types (CCT) de la Commission, éventuellement complétées par des mesures supplémentaires et une analyse d’impact du transfert (TIA), dans la logique issue de la jurisprudence de la CJUE sur l’invalidation du Privacy Shield.
En pratique, je recommande de cartographier tous les flux sortants dans le registre des activités de traitement : destinataire, pays, catégories de données, mécanisme de transfert retenu. Sans cette cartographie, il est impossible de démontrer la conformité en cas de contrôle.
Ce qu’il faut transmettre : le principe de minimisation
Le principe de minimisation de l’Art. 5(1)© impose de ne transmettre au prestataire étranger que les données strictement nécessaires. Un hôtel a besoin du nom, des dates de séjour et parfois d’une garantie de paiement ; il n’a aucun besoin du numéro de passeport complet, du numéro de carte bancaire en clair ou des coordonnées de l’assurance annulation. Le tri des données avant transmission est l’une des mesures les plus efficaces et les moins coûteuses.
Les passeports et documents d’identité
La collecte du numéro de passeport ou d’une copie du document est légitime quand elle est nécessaire à la réservation (visa, formalités d’entrée, billetterie internationale). Trois règles :
- Ne collecter que si nécessaire. Pour un séjour intra-UE sans obligation de passeport, exiger une copie de la pièce d’identité est disproportionné.
- Ne pas conserver au-delà du besoin. La copie de passeport se supprime une fois les formalités accomplies ; elle n’a pas à rester dans le dossier client des années.
- Sécuriser le stockage. Chiffrement, accès restreint, pas de copie qui circule par email non protégé. Une fuite de scans de passeports est une violation de données à fort risque, à notifier à la CNIL dans les 72 heures via le modèle de notification.
À noter : les données transmises aux compagnies aériennes au titre de l’API (Advance Passenger Information) ou du PNR relèvent d’obligations propres pesant sur le transporteur, qui est alors responsable de traitement pour ces finalités. L’agence n’a pas à gérer ces flux réglementaires, mais elle doit informer le voyageur qu’ils existent.
Les mineurs et les listes de voyageurs
Les voyages scolaires, colonies, groupes familiaux et séjours de mineurs génèrent des traitements spécifiques. Deux points de vigilance :
- L’autorité parentale. Les données d’un mineur sont collectées auprès du ou des titulaires de l’autorité parentale, qui autorisent le traitement et, le cas échéant, les données de santé de l’enfant (traitements médicaux, allergies). L’attestation parentale doit être documentée.
- Les listes de voyageurs (rooming lists, manifestes de groupe). Elles ne doivent contenir que les données utiles à l’organisation, circuler de façon sécurisée et être détruites après le voyage. Une liste de mineurs avec dates de naissance et informations médicales qui traîne dans une boîte mail partagée est un incident classique.
Durées de conservation
Le respect du principe de temporalité impose des durées précises. À titre indicatif, à adapter à votre organisation :
| Donnée | Durée active | Archivage |
|---|---|---|
| Dossier de réservation client | Durée de la relation commerciale | — |
| Pièces justificatives comptables (factures) | — | 10 ans (Code de commerce) |
| Copie de passeport / visa | Le temps des formalités | Suppression immédiate ensuite |
| Données de santé (PMR, allergies) | Le temps de la prestation | Suppression après le voyage |
| Prospect sans achat | 3 ans après le dernier contact | — |
| Données de paiement (carte) | Le temps de la transaction | Suppression / non-conservation du CVV |
Le tableau des durées de conservation de référence aide à construire une politique cohérente. La règle d’or : une donnée qui n’a plus d’usage doit être supprimée ou anonymisée.
Information et droits des voyageurs
L’agence délivre l’information de l’Art. 13 au moment de la collecte : identité du responsable, finalités, bases légales, destinataires (y compris les prestataires étrangers et le mécanisme de transfert), durées, droits. Une mention claire lors de la réservation en ligne et une politique de confidentialité accessible suffisent, à condition d’être réellement lisibles — voir les bonnes pratiques de l’article 12.
Les voyageurs disposent des droits habituels : accès, rectification, effacement, limitation, opposition. Le droit d’accès est fréquemment exercé après un litige (annulation, surbooking). L’agence doit pouvoir répondre dans le mois et fournir une copie des données, y compris l’historique des réservations.
Erreurs fréquentes et sanctions
Dans ma pratique, les manquements récurrents du secteur sont :
- Aucune base pour les transferts hors UE. Le mécanisme de transfert n’est ni identifié ni documenté — le point le plus exposé en cas de contrôle.
- Conservation indéfinie des copies de passeport dans le CRM ou les boîtes mail.
- Prospection sans consentement vers d’anciens contacts ou des fichiers achetés, en violation des règles de prospection commerciale.
- Sous-traitants non encadrés : logiciel de résa, centre d’appels, prestataire de paiement sans contrat Art. 28.
- Données de santé traitées sans consentement explicite (allergies notées « au passage »).
La CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83). Pour un réseau d’agences, l’assiette se calcule au niveau du groupe. Au-delà de l’amende, le risque réputationnel dans un secteur de confiance est majeur — voir notre synthèse des sanctions RGPD à connaître.
Structurer tout cela à la main est chronophage. Un logiciel RGPD permet d’industrialiser la tenue du registre, la cartographie des transferts internationaux et le suivi des contrats de sous-traitance, ce qui est particulièrement utile dans un secteur où chaque dossier génère des flux hors UE.
FAQ
Une agence de voyage peut-elle transmettre les données de ses clients à un hôtel hors UE ?
Oui, mais ce transfert doit reposer sur un mécanisme du chapitre V du RGPD. Pour une réservation ponctuelle, la dérogation de l’Art. 49(1)(b) ou © — transfert nécessaire à un contrat conclu dans l’intérêt du voyageur — est généralement mobilisable, à condition de rester occasionnelle et de ne transmettre que les données strictement nécessaires. Pour des flux systématiques, il faut des clauses contractuelles types.
Faut-il le consentement du voyageur pour envoyer ses données à l’étranger ?
Pas nécessairement. Le consentement (Art. 49(1)(a)) est une option, mais le fondement le plus solide et le plus adapté au tourisme reste la nécessité contractuelle : le voyageur commande un séjour à l’étranger, l’exécution suppose la transmission de ses données au prestataire local. L’information doit toutefois être transparente sur cette transmission.
Une agence doit-elle désigner un DPO ?
Ce n’est pas automatique. L’obligation de l’Art. 37 s’impose notamment en cas de suivi régulier et systématique à grande échelle ou de traitement à grande échelle de données sensibles. Une petite agence n’y est pas nécessairement tenue, mais dès qu’elle traite beaucoup de données de santé ou opère à grande échelle, la question se pose — voir les critères du DPO obligatoire et les tarifs d’un DPO externalisé.
Combien de temps conserver la copie d’un passeport client ?
Le temps strictement nécessaire aux formalités (visa, billetterie, entrée dans le pays). Une fois le voyage réalisé et les obligations remplies, la copie doit être supprimée. La conserver « au cas où » dans le dossier client est un manquement au principe de minimisation et un facteur de risque en cas de fuite.
Les allergies et besoins d’assistance sont-ils des données de santé ?
Oui. Une allergie alimentaire, un régime médical, un besoin d’assistance pour mobilité réduite relèvent de l’Art. 9(1). Leur traitement suppose le consentement explicite du voyageur (Art. 9(2)(a)), en plus de la base contractuelle. Concrètement : une case dédiée, une information claire et une transmission limitée au seul prestataire qui doit agir.
Comment gérer les données des mineurs lors d’un voyage de groupe ?
Les données du mineur sont collectées auprès des titulaires de l’autorité parentale, qui autorisent le traitement et les éventuelles données de santé. Les listes de voyageurs (manifestes, rooming lists) ne doivent contenir que l’utile, circuler de manière sécurisée et être détruites après le séjour.
Pour aller plus loin, recevez chaque semaine notre analyse de l’actualité RGPD et des décisions de la CNIL : abonnez-vous à la newsletter. Vous pouvez aussi consulter notre guide sectoriel e-commerce et notre analyse des obligations bancaires face au RGPD pour les questions de paiement.