RGPD hôtellerie-restauration : obligations et guide pratique 2026
RGPD hôtel et restaurant : fichiers clients, réservations OTA Booking/Expedia, vidéosurveillance, fidélité, wifi client. Obligations et checklist 2026.
- Le statut de l’établissement et la question des OTA
- Traitements typiques d’un établissement
- Les données sensibles cachées de la restauration
- Vidéosurveillance : locaux privés et espaces ouverts au public
- Fidélité, prospection et wifi client
- DPO : rarement obligatoire, mais pas jamais
- Les sous-traitants d’un établissement
- Sécurité et mesures attendues
- Contrôles CNIL et priorités du secteur
- Checklist de conformité pour un hôtel ou un restaurant
- FAQ
L’essentiel. Un hôtel ou un restaurant traite des fichiers clients, des réservations, des données de paiement, un programme de fidélité, la vidéosurveillance des locaux et le wifi mis à disposition des clients. Point de droit essentiel : quand une réservation arrive via Booking ou Expedia, la plateforme n’est pas votre sous-traitant — chacun est responsable de traitement pour ses propres finalités. Le DPO n’est généralement pas obligatoire pour un établissement indépendant, mais le devient pour les chaînes exploitant un profilage de fidélité à grande échelle. Attention aux données sensibles cachées : allergies, régimes et demandes particulières peuvent révéler la santé ou les convictions du client.
L’hôtellerie-restauration est un secteur à faible sensibilité apparente, mais à forte volumétrie et à multiples canaux. Un hôtel collecte les données de ses clients par son propre site, par téléphone, au comptoir et surtout via les plateformes de réservation en ligne (OTA). Il gère un fichier clients, souvent un programme de fidélité, des données de paiement, la vidéosurveillance de ses espaces, le wifi mis à disposition des clients, et il prospecte régulièrement par email. Un restaurant y ajoute la réservation en ligne, les avis clients et parfois un fichier d’allergies. Dans les audits que je mène dans ce secteur, deux erreurs dominent : croire que Booking ou Expedia sont des sous-traitants de l’hôtel, et conserver indéfiniment un fichier clients enrichi de demandes particulières. Voici comment structurer la conformité.
Le statut de l’établissement et la question des OTA
L’hôtel ou le restaurant est responsable de traitement au sens de l’Art. 4(7) : il détermine les finalités (réserver, héberger, facturer, fidéliser) et les moyens de ses traitements.
La relation avec les plateformes de réservation mérite une clarification, car elle est très largement mal comprise. Lorsqu’un client réserve via Booking, Expedia ou une autre OTA, la plateforme n’est pas le sous-traitant de l’hôtel. La plateforme poursuit ses propres finalités (intermédiation, marketing, notation) et détermine seule ses propres moyens : elle est elle-même responsable de traitement. On est en présence de deux responsables de traitement distincts, voire, selon les cas, de responsables conjoints (Art. 26) pour la seule partie commune de la réservation. L’hôtel n’a donc pas à conclure d’accord de sous-traitance de l’Art. 28 du RGPD avec l’OTA ; en revanche, il reste pleinement responsable des données qu’il récupère et traite ensuite pour son compte (fichier clients, fidélité, prospection).
Traitements typiques d’un établissement
| Traitement | Base légale | Durée de conservation indicative |
|---|---|---|
| Réservation et séjour | Art. 6(1)(b) exécution du contrat | Durée du séjour + délais comptables |
| Fiche individuelle de police (clients étrangers) | Art. 6(1)© obligation légale | 6 mois (à disposition des autorités) |
| Programme de fidélité | Art. 6(1)(a) consentement ou Art. 6(1)(b) | Durée d’adhésion + période d’inactivité |
| Prospection et newsletter | Art. 6(1)(a) consentement (B2C) / Art. 6(1)(f) clients existants | 3 ans après le dernier contact |
| Vidéosurveillance des locaux | Art. 6(1)(f) intérêt légitime (sécurité) | 1 mois maximum |
| Wifi client (portail + journaux de connexion) | Art. 6(1)© + Art. 6(1)(b)/(f) | Journaux de connexion : 1 an |
| Gestion du personnel | Art. 6(1)(b)/© | Durées légales RH |
Ce tableau doit se retrouver, ligne par ligne, dans le registre des activités de traitement. La base légale varie selon le traitement : le contrat d’hébergement pour la réservation, le consentement pour le marketing et la fidélité, l’obligation légale pour la fiche de police et la conservation des journaux de connexion wifi. Le tableau des durées de conservation doit prévoir une purge effective du fichier clients après une période d’inactivité raisonnable.
Les données sensibles cachées de la restauration
À première vue, l’hôtellerie-restauration ne traite pas de données sensibles au sens RGPD. C’est une erreur. Plusieurs informations courantes relèvent de l’Art. 9 :
- les allergies et intolérances déclarées pour un repas, qui sont des données de santé ;
- les régimes alimentaires particuliers (sans porc, casher, halal…), qui peuvent révéler des convictions religieuses ;
- les demandes d’accessibilité (chambre PMR, équipements) qui peuvent révéler un handicap.
Ces données ne doivent être collectées que si elles sont strictement nécessaires au service, conservées le temps du séjour ou de la prestation, puis supprimées — et jamais utilisées à des fins de profilage marketing. Le principe de minimisation commande de ne pas enrichir durablement le fichier clients de ces informations. Quant aux données de paiement, la sécurité impose de ne jamais conserver le cryptogramme visuel de la carte et de respecter le standard PCI-DSS.
Vidéosurveillance : locaux privés et espaces ouverts au public
La vidéosurveillance d’un hôtel ou d’un restaurant obéit à des règles précises. Pour les espaces privés (réserves, bureaux, couloirs de service), le régime de droit commun sous contrôle de la CNIL s’applique, sur la base de l’intérêt légitime de sécurité (Art. 6(1)(f)). Pour les zones ouvertes au public (hall, salle de restaurant) et a fortiori la voie publique, une autorisation préfectorale au titre du Code de la sécurité intérieure peut être requise.
Deux limites structurent le dispositif : les caméras ne doivent pas placer les salariés sous surveillance permanente à leur poste de travail, et les images ne peuvent être conservées au-delà d’un mois, sauf incident justifiant leur extraction. Le personnel et la clientèle doivent être informés par une signalétique visible.
Fidélité, prospection et wifi client
Le programme de fidélité repose sur le consentement ou l’exécution du contrat d’adhésion. La collecte doit rester proportionnée : les habitudes de séjour et de consommation ne se traduisent en profilage marketing que si le client y a consenti.
La prospection obéit aux règles habituelles : vers un client existant, l’intérêt légitime peut fonder l’envoi d’offres sur des services analogues ; vers un prospect en B2C et par voie électronique, le consentement préalable est requis. Les repères pratiques figurent dans notre guide prospection commerciale RGPD. Chaque message doit permettre un désabonnement simple.
Le wifi client cumule deux logiques. D’une part, le service lui-même (portail captif, éventuelle collecte d’un email) repose sur le contrat ou l’intérêt légitime. D’autre part, l’établissement qui met un accès internet à disposition du public est tenu de conserver les journaux de connexion pendant un an au titre de la réglementation applicable — une obligation régulièrement ignorée. Le portail ne doit pas collecter plus que nécessaire ni imposer une inscription marketing pour accéder au réseau.
DPO : rarement obligatoire, mais pas jamais
Un hôtel ou un restaurant indépendant n’est en général pas soumis à l’obligation de désigner un DPO : il ne traite pas de données sensibles à grande échelle et n’exerce pas de suivi systématique de grande ampleur au sens de l’Art. 37(1). Notre guide détaille les cas où le DPO est obligatoire.
La situation change pour les chaînes et groupes hôteliers. L’exploitation d’un vaste programme de fidélité, avec profilage et suivi comportemental de millions de clients, peut relever de l’Art. 37(1)(b) (suivi régulier et systématique à grande échelle) et rendre le DPO obligatoire. Même en l’absence d’obligation, désigner un référent RGPD identifié — le cas échéant un DPO externalisé — reste recommandé dès que l’établissement gère un fichier clients conséquent.
Les sous-traitants d’un établissement
L’hôtel ou le restaurant s’appuie sur de nombreux prestataires qui traitent des données pour son compte, au sens de l’Art. 28 du RGPD :
- l’éditeur du logiciel de gestion hôtelière (PMS) et de caisse ;
- le moteur de réservation intégré au site de l’établissement ;
- le prestataire de paiement et la solution de terminal ;
- l’outil d’emailing et de gestion de la relation client (CRM) ;
- la plateforme de gestion des avis et de la e-réputation ;
- le fournisseur du portail wifi ;
- l’exploitant de la vidéosurveillance et de sa maintenance ;
- l’hébergeur du site et des sauvegardes.
Chacun doit signer un contrat conforme à l’Art. 28(3). Attention à ne pas confondre ces sous-traitants (qui agissent pour le compte de l’établissement) avec les OTA (qui sont des responsables de traitement autonomes). L’évaluation des prestataires s’appuie utilement sur un questionnaire sous-traitants RGPD.
C’est ce type de documentation sectorielle qu’un logiciel RGPD permet d’industrialiser, en générant le registre, les fiches de traitement et le suivi des sous-traitants d’un ou plusieurs établissements.
Sécurité et mesures attendues
L’Art. 32 impose des mesures adaptées au risque. Les systèmes de réservation hôteliers sont des cibles régulières d’attaques ; le socle attendu :
- authentification robuste sur le PMS, la caisse et le CRM ;
- gestion des habilitations, retrait immédiat des accès au départ d’un salarié ;
- chiffrement des postes et des sauvegardes ;
- respect du standard PCI-DSS pour les données de paiement, sans conservation du cryptogramme ;
- charte informatique opposable au personnel ;
- purge du fichier clients après inactivité ;
- procédure de gestion des incidents.
Toute violation de données — compromission du fichier clients ou du système de réservation — présentant un risque doit être notifiée à la CNIL dans les 72 heures.
Contrôles CNIL et priorités du secteur
L’hôtellerie n’est pas un secteur à données sensibles à grande échelle, mais elle concentre plusieurs points d’attention récurrents de la CNIL. Sans citer de décisions particulières, les manquements le plus souvent relevés dans le secteur sont :
- Vidéosurveillance excessive, plaçant les salariés sous surveillance permanente ou dépassant la durée d’un mois.
- Prospection non consentie et collecte marketing imposée via le portail wifi.
- Durées de conservation non maîtrisées du fichier clients.
- Sécurité des systèmes de réservation insuffisante et violations de données.
- Confusion des rôles avec les OTA et sous-traitance non contractualisée.
Un audit RGPD organisé autour de ces cinq axes couvre l’essentiel du risque de contrôle.
Checklist de conformité pour un hôtel ou un restaurant
- [ ] Tenir un registre couvrant réservation, fidélité, prospection, vidéosurveillance, wifi et RH.
- [ ] Qualifier correctement les OTA (responsables de traitement, pas sous-traitants).
- [ ] Traiter allergies, régimes et demandes particulières comme des données sensibles à minimiser.
- [ ] Encadrer la vidéosurveillance (1 mois max, information, pas de surveillance permanente des salariés).
- [ ] Fonder fidélité et prospection sur le consentement, avec désabonnement simple.
- [ ] Conserver les journaux de connexion wifi 1 an sans sur-collecter au portail.
- [ ] Respecter PCI-DSS et ne jamais conserver le cryptogramme des cartes.
- [ ] Signer un DPA Art. 28 avec chaque sous-traitant (PMS, CRM, paiement, avis, wifi).
- [ ] Purger le fichier clients après une période d’inactivité définie.
- [ ] Évaluer l’obligation de désigner un DPO pour les chaînes et gros programmes de fidélité.
FAQ
Booking ou Expedia sont-ils sous-traitants de l’hôtel ?
Non. Les plateformes de réservation poursuivent leurs propres finalités et déterminent leurs propres moyens : elles sont responsables de traitement, au même titre que l’hôtel. Il n’y a donc pas de contrat de sous-traitance Art. 28 à conclure avec elles. L’hôtel reste néanmoins responsable des données qu’il récupère et exploite ensuite pour son compte.
Combien de temps conserver les images de vidéosurveillance ?
Un mois au maximum, sauf incident justifiant l’extraction de séquences. Les caméras ne doivent pas placer les salariés sous surveillance permanente à leur poste, et la clientèle comme le personnel doivent être informés par une signalétique visible.
Un restaurant qui note les allergies traite-t-il des données de santé ?
Oui. Les allergies et intolérances sont des données de santé relevant de l’Art. 9. De même, un régime alimentaire peut révéler une conviction religieuse. Ces données ne doivent être collectées que si elles sont nécessaires au service, conservées le temps de la prestation, puis supprimées, et jamais exploitées à des fins marketing.
Faut-il conserver les données du wifi mis à disposition des clients ?
Oui. L’établissement qui offre un accès internet au public est tenu de conserver les journaux de connexion pendant un an au titre de la réglementation applicable. En revanche, le portail wifi ne doit pas sur-collecter ni imposer une inscription marketing pour accéder au réseau.
Un hôtel indépendant doit-il désigner un DPO ?
Généralement non : il ne traite pas de données sensibles à grande échelle. L’obligation peut en revanche concerner les chaînes exploitant un vaste programme de fidélité avec profilage, au titre de l’Art. 37(1)(b). Même sans obligation, un référent RGPD identifié est recommandé.
Combien de temps garder un fichier clients ?
Le fichier clients se conserve le temps de la relation, puis pendant une période d’inactivité raisonnable (souvent trois ans après le dernier contact pour la prospection), avant purge effective. Chaque durée doit être documentée dans le registre et respectée, le défaut de purge étant l’un des griefs les plus fréquents en contrôle.