Sector hostelero

RGPD pour l'hôtellerie-restauration : restaurants, hôtels et restauration collective

Le secteur de l'hôtellerie-restauration traite quotidiennement un volume considérable de données à caractère personnel : réservations de tables et de chambres, registre obligatoire des voyageurs, images de systèmes de vidéosurveillance, données Wi-Fi des clients et profils de programmes de fidélité. Chacun de ces traitements possède sa propre base juridique, ses propres obligations d'information et ses propres durées de conservation. Chez Summum Consultoria, nous accompagnons les restaurants, les hôtels, les cafés et les hébergements touristiques dans leur mise en conformité pratique avec le Règlement (UE) 2016/679 et la LOPDGDD (LO 3/2018 — loi organique espagnole de protection des données).

Réglementation applicableRGPD (UE) 2016/679 · LOPDGDD 3/2018
Traitements clésRéservations · registre des voyageurs · vidéosurveillance · fidélisation
Autorité de contrôleAEPD — Agence espagnole de protection des données (Agencia Española de Protección de Datos)

L'hôtellerie-restauration est l'un des secteurs à plus forte densité de traitements de données à caractère personnel : le client communique son nom, son numéro de document d'identité et sa carte de crédit avant même de franchir la porte. La mise en conformité avec le Règlement (UE) 2016/679 — RGPD — dans cet environnement exige d'identifier précisément quelles données sont collectées à chaque point de service, quelle base de licéité les couvre et quelles informations doivent être fournies au client. L'article 6 du RGPD fixe les bases légales du traitement : pour une réservation, la base habituelle est l'exécution d'un contrat (art. 6.1.b) ; pour une caméra de sécurité dans le hall, l'intérêt légitime de l'établissement (art. 6.1.f) ou l'exécution d'une obligation légale peut être la base appropriée selon les circonstances ; et pour un programme de fidélité incluant des communications commerciales, le consentement explicite du client (art. 6.1.a) est pratiquement toujours nécessaire.

Le registre des voyageurs est l'une des obligations les plus caractéristiques du secteur de l'hébergement. Le Décret royal 933/2021 du 26 octobre (Real Decreto 933/2021) réglemente l'obligation pour les établissements d'hébergement de collecter les données de leurs hôtes — nom et prénom, numéro de document d'identité, date de naissance, sexe, nationalité et date d'arrivée — et de les communiquer aux Forces et Corps de Sécurité de l'État dans un délai maximum de vingt-quatre heures. Du point de vue du RGPD, ce traitement repose sur l'exécution d'une obligation légale (art. 6.1.c du RGPD), ce qui dispense l'établissement de recueillir le consentement à cette fin spécifique. Néanmoins, l'hôtel reste tenu d'informer l'hôte de ce traitement au préalable, au moyen d'un avis de confidentialité lors du processus d'enregistrement, et de garantir que les données ne sont pas utilisées à des fins autres que celles prévues par la réglementation.

La vidéosurveillance est une autre source fréquente de non-conformité dans le secteur de l'hôtellerie-restauration. Les caméras installées dans le hall, le parking, le comptoir ou les parties communes sont soumises à l'article 22 de la LOPDGDD, qui impose l'apposition de panneaux d'information en un endroit visible avertissant de l'existence du système, avec indication du responsable du traitement et des modalités permettant aux personnes concernées d'exercer leurs droits. Les images captées ne peuvent être conservées que pendant un délai maximum de trente jours, sauf si elles sont nécessaires pour établir la commission d'une infraction pénale ou administrative. Les caméras orientées vers des espaces privés des travailleurs — vestiaires, réfectoires, zones de repos — ou vers la voie publique sortent du cadre autorisé par le RGPD et la LOPDGDD dans ce contexte. Pour les installations destinées au contrôle de l'activité en cuisine ou en salle, il convient de distinguer si la finalité est la sécurité de l'établissement ou la supervision du personnel : cette dernière peut nécessiter une notification préalable au salarié conformément à l'article 89 de la LOPDGDD.

Le Wi-Fi gratuit pour les clients est un traitement fréquemment géré sans les documents minimaux requis. Lorsque l'établissement déploie un portail captif qui demande un nom, une adresse électronique, un numéro de chambre ou d'autres données pour accorder l'accès au réseau, il initie un traitement de données à caractère personnel qui exige, au minimum, le respect de l'obligation d'information de l'article 13 du RGPD avant que l'utilisateur ne fournisse ses données. Si, de surcroît, ces informations sont utilisées pour envoyer des communications commerciales ou des promotions de l'établissement, la base légale devient le consentement éclairé et spécifique de l'utilisateur, qui doit être clairement distinct de la simple condition d'accès au service.

Les programmes de fidélité et le marketing direct représentent le traitement au plus fort potentiel commercial pour le secteur, mais aussi l'un de ceux qui font l'objet du plus grand contrôle réglementaire. La LOPDGDD (LO 3/2018) exige que l'envoi d'offres, de remises ou de lettres d'information repose sur le consentement libre, spécifique, éclairé et non ambigu du destinataire, sauf s'il s'agit d'un client existant et que la communication porte sur des produits ou services analogues à ceux déjà contractés, auquel cas l'exception de la relation contractuelle préexistante peut s'appliquer. En tout état de cause, le client doit pouvoir exercer à tout moment son droit d'opposition au marketing direct, et l'établissement doit garantir que les demandes sont traitées sans retard injustifié. Summum Consultoria accompagne les établissements hôteliers dans la conception de processus de recueil du consentement à la fois pratiques pour l'activité et conformes aux exigences réglementaires.

Le processus RGPD pour l'hôtellerie-restauration.

Le processus · quatre étapes
01

Diagnostic des traitements et analyse des risques

Nous réalisons un inventaire complet des traitements de données de l'établissement : réservations, enregistrement, registre des voyageurs, vidéosurveillance, Wi-Fi, programmes de fidélité, fournisseurs et plateformes numériques. Pour chaque traitement, nous identifions la base de licéité, les catégories de données, les destinataires, les durées de conservation et les risques pour les droits des personnes concernées. Le résultat est la cartographie des traitements qui sert de base à la mise en conformité et au Registre des activités de traitement exigé par l'article 30 du RGPD.

02

Mise en conformité documentaire et contractuelle

Nous rédigeons ou révisons l'ensemble des documents de confidentialité de l'établissement : avis de confidentialité pour les clients lors du processus de réservation, d'enregistrement, d'utilisation du Wi-Fi et des programmes de fidélité ; clauses de protection des données pour les salariés ; et contrats de sous-traitance avec les prestataires technologiques, les plateformes de réservation, les sociétés de maintenance des systèmes et tout tiers accédant aux données à caractère personnel de l'établissement, conformément à l'article 28 du RGPD.

03

Vidéosurveillance et registre des voyageurs

Nous auditons le système de vidéosurveillance : position des caméras, finalité déclarée, panneaux d'information, durées de conservation des images et accès aux enregistrements. Nous élaborons ou révisons la procédure de registre des voyageurs conformément au Décret royal 933/2021 (Real Decreto 933/2021), vérifions que l'avis de confidentialité couvre ce traitement et que les données ne sont pas utilisées à des fins autres que celles prévues par la réglementation. Lorsque des non-conformités sont détectées, nous proposons des mesures correctives concrètes.

04

Formation de l'équipe et gestion continue

Nous formons le personnel de l'établissement — réceptionnistes, responsables de salle, chargés des réservations — aux procédures de traitement des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition) et à la détection et au signalement interne des incidents de sécurité. Nous mettons en place un canal d'exercice des droits et une procédure de réponse dans les délais conformément aux articles 12 à 22 du RGPD. Nous proposons des révisions périodiques pour adapter le dispositif aux évolutions réglementaires ou aux changements d'activité de l'établissement.

Ce qui est inclus

Ce qu'inclut RGPD pour l'hôtellerie-restauration.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Réservations et données clients

    Mise en conformité du processus de réservation — en présentiel, par téléphone ou en ligne — avec les exigences d'information de l'article 13 du RGPD : quelles données sont collectées, à quelle fin, pendant combien de temps et comment le client peut exercer ses droits.

  • Registre des voyageurs (RD 933/2021)

    Conception de la procédure de collecte et de transmission des données des hôtes aux Forces et Corps de Sécurité conformément au Décret royal 933/2021 (Real Decreto 933/2021), avec intégration de l'obligation d'information du voyageur et garanties que les données ne sont pas utilisées à d'autres fins.

  • Vidéosurveillance et caméras en salle et en cuisine

    Audit du système de caméras : position, finalité déclarée, panneaux d'information, durée maximale de conservation de trente jours (art. 22 LOPDGDD) et accès aux enregistrements. Analyse différenciée pour les caméras de sécurité et les caméras de supervision du personnel (art. 89 LOPDGDD).

  • Wi-Fi clients et portails captifs

    Révision du portail captif et de l'avis de confidentialité devant être fourni avant la collecte des données de l'utilisateur ; séparation entre l'accès au service et le consentement aux communications commerciales.

  • Programmes de fidélité et marketing direct

    Conception du modèle de consentement et de la clause marketing pour les programmes de points, les lettres d'information et les promotions ; procédure d'exercice du droit d'opposition et gestion des désabonnements aux communications commerciales.

  • Contrats avec les plateformes et les fournisseurs

    Rédaction ou révision des contrats de sous-traitance (art. 28 RGPD) avec les plateformes de réservation en ligne, les systèmes de gestion hôtelière (PMS), les terminaux de paiement et tout fournisseur ayant accès aux données à caractère personnel de l'établissement.

Questions fréquentes sur RGPD pour l'hôtellerie-restauration.

Quelle base légale couvre le traitement des données lors des réservations de restaurant ou d'hôtel ?

La base habituelle pour traiter les données collectées lors du processus de réservation — nom, numéro de téléphone, adresse électronique et données de paiement — est l'exécution du contrat d'hébergement ou de prestation du service de restauration, conformément à l'article 6.1.b du RGPD. Cela signifie qu'il n'est pas nécessaire de recueillir un consentement explicite pour gérer la réservation, mais l'obligation d'information préalable de l'article 13 doit être respectée : le client doit être informé de l'identité du responsable du traitement, de la finalité de l'utilisation de ses données, de la durée de leur conservation et des modalités d'exercice de ses droits d'accès, de rectification, d'effacement ou d'opposition.

Le registre des voyageurs dans les hôtels est-il soumis au RGPD ?

Oui. Le registre des voyageurs — la collecte des données d'identité des hôtes et leur transmission aux Forces et Corps de Sécurité — est un traitement de données à caractère personnel soumis au RGPD, même si sa base de licéité est l'exécution d'une obligation légale (art. 6.1.c du RGPD et Décret royal 933/2021 — Real Decreto 933/2021). Cela implique que l'établissement n'a pas besoin du consentement pour effectuer le registre, mais doit informer l'hôte de ce traitement — généralement au moyen de l'avis de confidentialité lors du processus d'enregistrement — et garantir que les données collectées pour le registre ne sont pas utilisées à d'autres fins telles que le marketing ou l'élaboration de profils clients.

Puis-je installer des caméras en cuisine ou en salle dans un restaurant ?

Cela dépend de la finalité. Si les caméras sont installées à des fins de sécurité de l'établissement — surveillance des accès, prévention des vols — le cadre applicable est l'article 22 de la LOPDGDD : des panneaux d'information doivent être placés en un endroit visible avant d'accéder à la zone surveillée, la conservation des images doit être limitée à un maximum de trente jours et l'accès aux enregistrements doit être restreint aux personnes autorisées. Si la finalité principale ou accessoire est le contrôle de l'activité des salariés, l'article 89 de la LOPDGDD exige d'informer préalablement les travailleurs et, le cas échéant, leurs représentants syndicaux. Les caméras ne peuvent pas être orientées vers des zones de repos, des vestiaires ou des espaces intimes des travailleurs, ni capturer de manière systématique la voie publique.

Le Wi-Fi gratuit pour les clients génère-t-il des obligations en matière de protection des données ?

Oui, dès lors que des données à caractère personnel sont collectées pour l'accès. Lorsque l'établissement utilise un portail captif qui demande un nom, une adresse électronique ou d'autres données avant d'accorder l'accès au réseau, ce moment de collecte déclenche l'obligation d'information de l'article 13 du RGPD : l'utilisateur doit savoir qui traite ses données, à quelle fin et pendant combien de temps. Si ces informations sont en outre destinées à être utilisées pour l'envoi d'offres ou de communications commerciales, le consentement explicite de l'utilisateur est requis, et il doit être indépendant et non conditionné à l'accès au Wi-Fi. Fournir l'accès au réseau sans collecter de données identifiantes réduit les obligations de conformité, bien que l'établissement puisse avoir besoin de conserver des journaux de connexion pour des raisons de sécurité de son propre réseau.

Que se passe-t-il avec les données clients partagées avec des plateformes de réservation telles que Booking.com ?

Les plateformes de réservation en ligne peuvent agir, à l'égard des données des clients, en tant que responsables indépendants du traitement ou en tant que responsables conjoints avec l'établissement, selon la configuration de la relation et les finalités poursuivies. En tout état de cause, l'établissement hôtelier doit examiner les conditions de confidentialité de la plateforme et, s'il reçoit des données de clients en provenance de celle-ci, respecter l'obligation d'information de l'article 14 du RGPD — applicable lorsque les données n'ont pas été collectées directement auprès de la personne concernée — et formaliser les arrangements contractuels appropriés. Summum Consultoria analyse chaque relation avec les plateformes numériques pour déterminer la qualification correcte et la reporter dans le Registre des activités de traitement.

Quelles sanctions l'AEPD peut-elle infliger à un établissement hôtelier pour non-conformité au RGPD ?

Le régime des sanctions prévu à l'article 83 du RGPD établit deux niveaux d'amendes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total pour les infractions liées aux obligations techniques ou organisationnelles, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires pour les infractions aux principes du traitement, aux bases de licéité ou aux droits des personnes concernées. La LOPDGDD (LO 3/2018) classe les infractions en mineures, graves et très graves, et intègre des critères de graduation tenant compte de la taille de l'organisation et des mesures prises pour réduire le préjudice. Summum Consultoria accompagne les établissements dans la mise en conformité préventive, mais ne garantit pas l'absence de procédures de sanction et ne remplace pas la fonction de contrôle de l'AEPD.