RGPD en hôtellerie-restauration : bars, hôtels et restaurants

·

Un bar de quartier offrant le Wi-Fi à ses clients, un hôtel trois étoiles doté d'un système de réservation en ligne et un restaurant avec une carte de fidélité ont quelque chose en commun qui figure rarement sur leur liste de préoccupations : tous trois sont responsables du traitement de données personnelles au titre du Règlement (UE) 2016/679, connu sous le nom de RGPD, et de la Loi organique 3/2018 sur la protection des données personnelles et la garantie des droits numériques (LOPDGDD). La petite taille de l'entreprise n'exonère pas des obligations ; le fait d'exercer dans un secteur « de contact direct » non plus. L'Agence espagnole de protection des données (AEPD) a ces dernières années sanctionné des établissements hôteliers pour des caméras mal orientées, des formulaires de réservation sans clause d'information et des fichiers clients sans mesures de sécurité de base.

Cet article explique, à travers des cas d'usage réels du secteur, quelles données l'hôtellerie-restauration traite, quelles obligations la réglementation impose et quand il est opportun de faire appel à un DPO externe pour garantir la conformité sans surcharger le responsable de l'établissement.

Quelles données personnelles un établissement hôtelier traite-t-il ?

L'hôtellerie-restauration collecte davantage de données qu'il n'y paraît au premier abord. Les identifier est la première étape pour les gérer correctement.

Réservations et enregistrement

Les hôtels, gîtes ruraux et appartements touristiques sont tenus, en vertu de la réglementation sur la sécurité publique (Loi organique 4/2015 et Décret royal 933/2021, en vigueur depuis le 2 janvier 2023), d'enregistrer et de communiquer au ministère de l'Intérieur les données de tous les voyageurs âgés de plus de 14 ans : nom et prénoms, type et numéro de pièce d'identité, date de naissance, sexe, pays de résidence et date d'entrée. Cet enregistrement est communiqué dans un délai maximum de 24 heures via le système SES.HOSPEDAJES. Chaque fichier de bulletins de voyageurs constitue également un fichier de données personnelles qui exige une politique de conservation et un accès contrôlé.

Systèmes de réservation en ligne

Les formulaires sur le site Web de l'hôtel ou du restaurant, les plateformes de réservation tierces (TheFork, Booking.com, etc.) et les e-mails de confirmation génèrent des enregistrements contenant le nom, l'adresse e-mail, le numéro de téléphone et, fréquemment, les préférences alimentaires ou les allergies. Ces dernières constituent des données de santé, catégorie particulière au sens de l'article 9 du RGPD, qui exige une base juridique renforcée (consentement explicite ou nécessité contractuelle avec garanties) et des mesures de sécurité supplémentaires.

Vidéosurveillance

Les caméras de sécurité aux entrées, dans les salles et les parkings capturent des images qui constituent des données personnelles. L'AEPD a publié un Guide sur l'utilisation des caméras vidéo à des fins de sécurité et autres (mis à jour en 2023) qui établit, entre autres exigences : une zone de captation minimale (uniquement le périmètre propre de l'établissement, et non la voie publique sauf exceptions limitativement énumérées), un panneau d'information visible et une conservation maximale de 30 jours, sauf réquisition judiciaire. Plusieurs sanctions récentes de l'organisme — certaines dépassant 5 000 € pour de petits commerces — font suite à des caméras orientées vers la rue ou à des images conservées pendant des mois sans justification.

Wi-Fi pour les clients

L'accès à Internet via un portail captif implique, au minimum, l'enregistrement de l'adresse MAC du terminal et, si une inscription est demandée, de l'adresse e-mail ou du numéro de téléphone de l'utilisateur. Conformément à l'article 13 du RGPD, l'établissement doit informer l'utilisateur au moment de la collecte : qui est le responsable du traitement, à quelle fin les données sont conservées et pendant combien de temps. Omettre cet avis sur le portail de connexion constitue une infraction expressément prévue.

Cartes et programmes de fidélité

Les chaînes hôtelières et les restaurants d'une certaine taille tiennent des bases de données clients contenant l'historique de consommation, les préférences de chambre et les habitudes de visite. Lorsque ces données sont croisées avec des profils pour envoyer des offres commerciales, la base juridique la plus couramment retenue est l'intérêt légitime (article 6.1.f RGPD), à condition qu'un test de mise en balance ait été réalisé et que le client puisse s'y opposer facilement. L'envoi de communications commerciales sans base juridique constitue en outre une infraction à la Loi 34/2002 sur les services de la société de l'information (LSSI).

Relations de travail

Bulletins de salaire, contrats, arrêts maladie, images de caméras dans les espaces de travail, pointage numérique : l'hôtelier est également responsable des données de ses employés. Les obligations en matière de protection des données dans le domaine du droit du travail sont étendues et incluent l'obligation d'informer les travailleurs de l'utilisation de systèmes de contrôle (articles 87 à 90 LOPDGDD).

Obligations concrètes du RGPD pour l'hôtellerie-restauration

La réglementation ne distingue pas les secteurs : les obligations sont les mêmes pour un hôtel de 200 chambres que pour un bar de dix tables, même si l'intensité et la complexité de leur application pratique varient.

Obligation En quoi elle consiste S'applique à
Registre des activités de traitement (RAT) Document interne répertoriant tous les traitements : finalité, catégories de données, destinataires, durées de conservation, mesures de sécurité. Obligatoire pour les organisations de plus de 250 employés ou traitant des données à risque (catégories particulières, grande échelle). Hôtels moyens et grands, chaînes ; recommandé pour tous
Clauses d'information Avis sur les formulaires de réservation, sur le site Web (mentions légales + politique de confidentialité), à l'accueil et sur le portail Wi-Fi. Doivent être conformes à l'article 13 RGPD. Tout établissement collectant des données
Contrats avec les sous-traitants Accords formels avec les fournisseurs ayant accès aux données (plateformes de réservation, expert-comptable, logiciel de caisse en nuage, société de maintenance des caméras). Art. 28 RGPD. Tout responsable externalisant des traitements
Panneaux de vidéosurveillance Affichettes visibles dans les zones surveillées avec les informations de base (responsable, finalité, droits). Modèle disponible sur le site de l'AEPD. Tout établissement équipé de caméras
Politique de conservation et de suppression Définir combien de temps chaque type de données est conservé et garantir sa suppression ou son anonymisation lorsqu'il n'est plus nécessaire. Tout établissement
Procédure d'exercice des droits Canal permettant aux clients et aux employés d'exercer leurs droits ARCO+ (accès, rectification, effacement, opposition, portabilité, limitation). Réponse sous un mois (prorogeable à deux). Tout établissement
Analyse d'impact (AIPD) Analyse formelle des risques obligatoire lorsque le traitement « est susceptible d'engendrer un risque élevé ». La vidéosurveillance à grande échelle ou le traitement massif de données de santé (allergies) peuvent l'exiger. Hôtels à vidéosurveillance étendue, grandes chaînes
Désignation d'un DPO Obligatoire lorsque l'activité principale implique un suivi systématique à grande échelle de personnes dans des espaces publics, ou des données particulières à grande échelle. Recommandée pour les chaînes hôtelières. Grandes chaînes ; recommandé pour les établissements de taille moyenne

Sanctions de l'AEPD dans le secteur hôtelier : cas réels

Ce n'est pas de la théorie. L'AEPD publie toutes ses décisions et bon nombre d'entre elles concernent directement le secteur.

Caméras filmant la voie publique

Dans plusieurs décisions, l'AEPD a sanctionné des établissements hôteliers pour avoir installé des caméras orientées vers le trottoir ou la rue, captant des images de personnes étrangères à l'établissement sans base juridique. L'argument « c'est pour la sécurité du local » ne justifie pas la captation en dehors du périmètre propre. Les sanctions dans ces cas oscillent, pour les petits établissements, entre 300 et 3 000 €, bien que le montant puisse être supérieur en cas de récidive ou de manque de coopération.

Envois commerciaux sans consentement

Des restaurants qui collectent l'adresse e-mail de clients lors d'une réservation et les ajoutent ensuite à une liste de newsletter sans consentement spécifique ont reçu des avertissements et des sanctions. Le consentement à la gestion de la réservation n'autorise pas l'envoi de publicité : ce sont des finalités distinctes qui nécessitent des bases juridiques indépendantes.

Accès non autorisé aux données des employés

Dans des environnements hôteliers à forte rotation du personnel, l'accès aux fiches de paie et aux dossiers du personnel par des cadres non habilités ou l'utilisation de systèmes partagés sans contrôle des accès ont généré des incidents de sécurité. L'article 32 du RGPD impose l'adoption de mesures techniques et organisationnelles appropriées, notamment un contrôle des accès fondé sur les rôles.

Quand la désignation d'un DPO est-elle obligatoire dans l'hôtellerie ?

L'article 37 du RGPD établit trois cas de désignation obligatoire d'un Délégué à la Protection des Données (DPO) : les autorités ou organismes publics, les organisations dont l'activité principale implique un suivi systématique à grande échelle de personnes, et les organisations traitant des données particulières à grande échelle. Dans l'hôtellerie, l'obligation formelle se rencontre rarement, sauf dans les grandes chaînes dotées de systèmes de vidéosurveillance étendus ou traitant massivement des données de santé.

Toutefois, la désignation volontaire d'un DPO externe est une pratique de plus en plus répandue dans le secteur, notamment dans les hôtels de taille moyenne et les groupes de restauration multi-sites, pour trois raisons pratiques :

Cas d'usage concrets : comment le RGPD s'applique en pratique dans l'hôtellerie

Hôtel urbain de 80 chambres

Un hôtel de cette taille gère au quotidien : les bulletins de voyageurs communiqués au ministère de l'Intérieur (SES.HOSPEDAJES), les réservations directes via le site Web et par les OTA (Booking.com, Expedia), les données de carte de crédit en garantie (généralement via une passerelle certifiée PCI-DSS, qui n'exonère pas de la responsabilité RGPD), les caméras à la réception, au parking et dans les couloirs, et les données des employés. Le registre des activités de traitement identifiera au moins huit à dix traitements distincts. La relation avec Booking.com exige un accord de sous-traitance ; la politique caméras nécessite un guide interne et les panneaux réglementaires ; les formulaires Web doivent comporter une clause d'information complète. Un DPO externe consacrant quelques heures par mois peut maintenir tout cela à jour.

Chaîne de restaurants avec carte de fidélité

Une chaîne de huit établissements gérant une carte de points accumule un profil complet de chaque client : fréquence de visite, dépense moyenne, préférences (boissons sans alcool, menu végétalien), coordonnées. Ce traitement peut s'approcher de la notion de « profilage » au sens de l'article 4.4 du RGPD, ce qui exige une plus grande diligence quant à la base juridique et à l'information fournie à l'utilisateur. Le programme de fidélité doit disposer de sa propre section dans la politique de confidentialité, avec une explication claire de l'utilisation qui sera faite des données et de la durée de conservation après résiliation.

Bar avec Wi-Fi gratuit

C'est le cas apparemment le plus simple, mais aussi le plus fréquemment non conforme. Si le portail de connexion demande l'adresse e-mail du client, cet e-mail est une donnée personnelle et sa collecte exige d'en informer l'utilisateur. Si l'adresse e-mail doit être utilisée pour envoyer des offres, un consentement explicite est également requis (opt-in actif, pas une case précochée). Le cookie de session du portail peut également relever de la loi sur les cookies (transposition de la directive ePrivacy), même si la portée pratique dépend de l'implémentation technique.

Gîte rural avec livre de réclamations numérique

Les formulaires de réclamation numériques, de plus en plus courants dans les régions ayant réglementé le canal en ligne, recueillent des données sur le plaignant et sur l'employé concerné. Ces données ont une finalité spécifique (gestion de la réclamation et éventuel examen par l'administration régionale de la consommation) et ne peuvent être réutilisées à d'autres fins. Les gérer correctement suppose d'informer le client au moment de la réclamation et de conserver le dossier pendant la durée prévue par la réglementation sectorielle.

Le double cadre réglementaire : RGPD et LOPDGDD

Le RGPD est directement applicable en Espagne depuis le 25 mai 2018. La LOPDGDD (Loi organique 3/2018) le développe et l'adapte à l'ordre juridique espagnol, en ajoutant des règles spécifiques dans des matières telles que la vidéosurveillance au travail (art. 89), le contrôle de l'utilisation des dispositifs numériques (art. 87), la géolocalisation des travailleurs (art. 90) et les systèmes d'information interne sur les infractions (art. 24, désormais complété par la Loi 2/2023 sur les canaux d'alerte). Pour l'hôtellerie, les articles 89 et 90 de la LOPDGDD sont particulièrement pertinents si des caméras ou des GPS sont utilisés dans la flotte de livraison d'un service de restauration.

En outre, le Décret royal 933/2021 relatif aux obligations d'enregistrement documentaire et d'information des personnes physiques exerçant des activités d'hébergement ou de location de véhicules à moteur introduit des obligations spécifiques pour le secteur qui se superposent — sans contradiction — à celles du RGPD. Le respect simultané des deux réglementations exige une cohérence dans les durées de conservation : le ministère de l'Intérieur peut exiger que les bulletins de voyageurs soient conservés pendant trois ans, tandis que le RGPD impose de ne pas les conserver plus longtemps que strictement nécessaire. La solution consiste à documenter les deux obligations dans le RAT et à appliquer le délai le plus long lorsqu'une obligation légale le justifie.

Étapes pour régulariser la protection des données dans votre établissement

La mise en conformité ne nécessite pas des mois ni des ressources disproportionnées. Dans la plupart des établissements hôteliers de taille moyenne, un processus structuré permet d'atteindre un niveau de conformité raisonnable en quelques semaines :

  1. Inventaire des traitements : lister tous les points où des données sont collectées ou traitées (formulaires, réservations, caméras, Wi-Fi, caisse enregistreuse, fiches de paie, etc.).
  2. Base juridique par traitement : identifier si chaque traitement repose sur un contrat, un intérêt légitime, une obligation légale ou un consentement, et le documenter.
  3. Clauses d'information : rédiger ou mettre à jour les textes d'information sur les formulaires, le site Web et les points de collecte physiques.
  4. Contrats avec les sous-traitants : réviser les accords avec les plateformes de réservation, les logiciels de gestion, les sociétés de surveillance et les experts-comptables, et intégrer les clauses de l'article 28 RGPD là où elles font défaut.
  5. Politique de vidéosurveillance : vérifier les angles de caméra, installer les panneaux réglementaires et fixer une politique de conservation de 30 jours maximum.
  6. Formation du personnel : les équipes de réception, de salle et de cuisine qui manipulent des données doivent connaître les procédures de base : comment répondre à une demande d'exercice de droits, que faire en cas de violation de données.
  7. Révision périodique : la conformité au RGPD n'est pas un projet ponctuel ; les traitements évoluent (nouvelle application de réservation, nouveau fournisseur de Wi-Fi) et la documentation doit être tenue à jour.

Questions fréquentes

Un petit restaurant a-t-il les mêmes obligations RGPD qu'un grand hôtel ?

Les obligations formelles sont identiques en ce qui concerne les principes, les bases juridiques et l'information des personnes concernées. Ce qui varie, c'est l'échelle et donc l'effort de mise en œuvre. Un restaurant avec quatre employés, sans programme de fidélité ni vidéosurveillance, a peu de traitements à gérer ; un hôtel de cent chambres avec de multiples canaux numériques présente une casuistique bien plus large. Dans les deux cas, les infractions sont passibles de sanctions, mais l'AEPD tient compte de la taille et de la capacité économique du contrevenant pour moduler les montants (article 83.2.k RGPD).

Puis-je conserver les données de réservation des clients indéfiniment pour de futures campagnes marketing ?

Non. Le principe de limitation de la conservation (article 5.1.e RGPD) oblige à ne conserver les données que le temps nécessaire à la finalité qui les justifie. Une fois le séjour terminé et les éventuelles réclamations civiles ou fiscales éteintes (généralement quatre à cinq ans selon le type de donnée), les données doivent être supprimées ou anonymisées. L'utilisation de données de réservations passées à des fins d'envois commerciaux exige en outre une base juridique spécifique, indépendante de la réservation initiale.

Ai-je besoin d'un consentement pour installer des caméras dans mon établissement ?

Pas exactement : la base juridique de la vidéosurveillance dans les établissements ouverts au public est généralement l'intérêt légitime du responsable (sécurité des personnes et des biens), et non le consentement. Ce qui est obligatoire, c'est d'informer clients et employés au moyen des panneaux réglementaires. La capture d'images de salariés à des fins de contrôle du travail est soumise à des exigences supplémentaires en vertu de l'article 89 de la LOPDGDD : l'employeur doit informer préalablement les travailleurs ou leurs représentants.

Que se passe-t-il si je subis une violation de données (piratage de la base de données clients) ?

L'article 33 du RGPD impose l'obligation de notifier la violation à l'AEPD dans un délai maximum de 72 heures à compter du moment où le responsable en a connaissance, sauf si elle est peu susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Si la violation présente un risque élevé pour les personnes concernées, celles-ci doivent également en être informées directement (article 34). Le non-respect du délai de notification constitue une infraction grave. Disposer d'un protocole de gestion des incidents documenté — et d'un DPO externe pour l'activer — réduit significativement le risque de ne pas respecter ce délai.