Un établissement d'hôtellerie-restauration traite des données personnelles dans les réservations, les paiements, le wifi, la vidéosurveillance, le marketing, le personnel et, pour les hébergements, les registres légaux de clients. Chaque finalité nécessite sa propre base juridique, une information adaptée, un accès contrôlé et un délai de conservation propre. Remplir une obligation d'enregistrement n'autorise pas à copier des documents entiers, à réutiliser les données à des fins publicitaires, ni à les conserver indéfiniment.
Cartographie des traitements
Avant d'entrer dans le détail de chaque traitement, il convient d'avoir une vue d'ensemble claire : un établissement d'hôtellerie-restauration gère habituellement les activités suivantes :
- Réservations et liste d'attente
- Facturation et paiements
- Programmes de fidélité
- Commandes à domicile
- Wifi clients
- Vidéosurveillance
- Événements et images
- Marketing
- Allergènes et besoins spécifiques
- Personnel et plannings
- Fournisseurs
- Hébergement, le cas échéant
Chaque activité doit être recensée avec sa finalité, sa base juridique, les données traitées, les destinataires, le délai de conservation et les mesures de sécurité appliquées.
Réservations
Le processus de réservation ne doit recueillir que le nécessaire : nom, coordonnées, date, nombre de personnes et remarques pertinentes pour la prestation du service. Aucune appréciation désobligeante sur le client ni donnée sensible non pertinente ne doit être consignée.
Si la plateforme de réservation réutilise les données à ses propres fins, le rôle de chaque partie doit être clairement défini et la transparence garantie vis-à-vis du client. Les réservations annulées ne doivent pas être conservées indéfiniment à des fins de marketing.
Données d'hébergement
Le Real Decreto 933/2021 (décret royal espagnol relatif aux registres d'hébergement) établit quelles données doivent être recueillies et transmises dans le cadre des activités d'hébergement. L'AEPD (autorité espagnole de protection des données) a précisé que cette obligation d'enregistrement n'implique pas, à elle seule, de demander une copie complète de la pièce d'identité lorsque cela n'est pas nécessaire.
La procédure doit :
- Recueillir uniquement les champs exigés par la réglementation
- Vérifier l'identité de façon proportionnée
- Informer le client
- Limiter les accès à l'information recueillie
- Transmettre les données par le canal autorisé
- Les conserver selon la réglementation spécifique
- Éviter les copies supplémentaires
La pièce d'identité ne doit pas être photographiée systématiquement par simple commodité opérationnelle.
Wifi pour les clients
L'accès wifi peut générer des identifiants tels que l'adresse MAC, l'IP, le type d'appareil ou l'historique de navigation, selon la configuration utilisée. Il est nécessaire de définir la finalité du traitement — accès, sécurité ou conformité réglementaire — et d'éviter toute analyse cachée.
Contrôles recommandés :
- Réseau séparé des systèmes internes de l'établissement
- Information accessible sur le traitement
- Journaux minimaux avec un délai de conservation défini
- Prestataire contracté de façon adéquate
- Portail d'accès sécurisé
- Ne pas demander de données excessives
- Protection contre les accès non autorisés
L'accès wifi de base ne doit pas être conditionné à l'acceptation de communications marketing lorsque celle-ci n'est pas nécessaire au service.
Vidéosurveillance
L'image constitue une donnée personnelle. Les caméras doivent répondre à une finalité de sécurité et respecter les principes de nécessité et de proportionnalité.
- Emplacement limitant la captation de la voie publique et des zones étrangères à l'établissement
- Interdiction expresse dans les toilettes, vestiaires et zones intimes
- Panneau d'information visible
- Information complète disponible pour qui la demande
- Accès restreint aux enregistrements
- Conservation générale maximale selon le régime applicable, habituellement un mois sauf incident
- Extraction d'images uniquement pour des faits précis
- Contrat avec l'entreprise de sécurité le cas échéant
L'enregistrement du son constitue une mesure plus intrusive et doit, en règle générale, être évité sauf justification exceptionnelle.
Caméras et personnel
Lorsque les caméras servent également au contrôle du personnel, le devoir d'information spécifique et le principe de proportionnalité s'appliquent. Une surveillance continue de la performance ne doit pas être conçue, et les caméras faisant partie du dispositif ordinaire ne doivent pas être dissimulées.
Les représentants du personnel doivent participer au processus le cas échéant.
Marketing
Réserver une table ou une chambre n'implique pas d'accepter la publicité. Le marketing nécessite une base juridique adaptée, une information claire et un mécanisme d'opposition simple.
Il convient de distinguer :
- Communications de service
- Enquêtes
- Fidélisation
- Promotions
- Profilage
Les listes de contacts doivent être épurées périodiquement, et l'origine de chaque donnée doit être consignée. Acheter des bases de données sans garanties suffisantes crée un risque réel de non-conformité.
Images et réseaux sociaux
Publier des images de clients ou de personnel sur les réseaux sociaux constitue une finalité distincte des autres traitements. Lorsqu'elle repose sur le consentement, celui-ci doit être spécifique à chaque canal et révocable à tout moment. Lors d'événements, il faut informer au préalable et proposer des alternatives raisonnables à qui ne souhaite pas apparaître.
Une personne à l'arrière-plan peut rester identifiable. Tout ce qui se passe dans un établissement n'est pas librement publiable.
Allergies et santé
Les allergies peuvent constituer des données de santé. Seul le nécessaire à la prestation du service doit être recueilli, l'accès à cette information doit être limité au personnel de cuisine et de salle, et elle doit être supprimée dès qu'elle n'est plus nécessaire.
Cette information ne doit pas être utilisée à des fins de segmentation commerciale. Les notes correspondantes doivent rester objectives et être protégées de façon sécurisée.
Personnel
Les traitements liés au personnel incluent :
- Contrats et paies
- Plannings
- Pointage
- Santé au travail
- Caméras
- Appareils
- Candidats
Les salariés doivent être informés, les accès à chaque type d'information doivent être limités, et l'usage de données biométriques par simple commodité doit être évité. Les données de santé doivent rester séparées, et seules les conclusions strictement nécessaires doivent être communiquées.
Fournisseurs
Réservation, PMS, TPV, livraison, marketing, wifi, caméras, paie et services cloud peuvent agir en tant que sous-traitants ou en tant que responsables indépendants, selon les cas.
Il convient de vérifier :
- Le rôle occupé par chaque fournisseur
- Le contrat signé
- Les sous-traitants ultérieurs impliqués
- Les mesures de sécurité appliquées
- Les transferts de données qu'il réalise
- Le délai de conservation applicable
- La possibilité d'exporter les données
- La procédure en cas d'incident
- Les conditions de sortie du service
Le fait qu'une plateforme soit connue dans le secteur ne dispense pas de cette diligence.
Paiements
Les données de carte ne doivent pas être stockées en dehors des systèmes autorisés à cet effet. L'accès à cette information doit être limité, des prestataires de paiement adaptés doivent être utilisés, et les données de paiement doivent rester séparées de celles du marketing.
Les justificatifs de paiement contiennent des informations personnelles et doivent être conservés conformément à la finalité fiscale et à la gestion d'éventuelles réclamations.
Conservation
Il n'existe pas de délai unique pour tous les traitements : chaque catégorie de données suit son propre critère de conservation.
| Catégorie | Critère |
|---|---|
| Réservations | Service et réclamations |
| Factures | Obligations fiscales |
| Hébergement | Réglementation spécifique d'hébergement |
| Wifi | Sécurité et nécessité |
| Caméras | Régime de vidéosurveillance |
| Marketing | Jusqu'à l'opposition ou la fin de la base juridique |
| Personnel | Obligations sociales et de responsabilité |
À la fin de l'usage ordinaire des données, un blocage peut être appliqué plutôt qu'une suppression immédiate.
Droits
Un canal doit exister pour exercer les droits d'accès, de rectification, d'effacement, de limitation et d'opposition. L'identité du demandeur doit être vérifiée de façon proportionnée et la réponse doit être apportée dans le délai imparti.
Pour les caméras, les tiers pouvant apparaître dans les enregistrements doivent être protégés. Pour l'hébergement, l'effacement peut être limité par une obligation légale de conservation.
Violations de données
Les cas les plus fréquents dans l'hôtellerie-restauration incluent :
- Liste de réservations exposée
- TPV compromis
- Courriel envoyé à des destinataires visibles entre eux
- Copie de pièce d'identité divulguée
- Caméra accessible depuis internet
- Appareil perdu
- Fournisseur attaqué
La procédure face à une violation doit contenir l'incident, l'évaluer, le consigner et décider s'il convient de notifier l'autorité de contrôle ou les personnes concernées. Le fournisseur impliqué doit prévenir sans délai.
Plan sur 30 jours
Semaine 1
Inventaire des traitements, désignation des responsables et révision des fournisseurs.
Semaine 2
Information des personnes concernées, définition des bases juridiques et révision des contrats.
Semaine 3
Révision des accès, de la conservation, des caméras et du wifi.
Semaine 4
Formation de l'équipe, procédure de violation et test de l'exercice des droits.
Erreurs fréquentes
- Copier la pièce d'identité complète du client.
- Utiliser les données de réservation à des fins marketing sans base adaptée.
- Conditionner le wifi à l'acceptation de la publicité.
- Installer des caméras avec enregistrement du son.
- Capter la voie publique de façon excessive.
- Partager les identifiants d'accès au PMS entre le personnel.
- Conserver indéfiniment les données d'allergies.
- Ne pas réviser les contrats des plateformes utilisées.
- Publier des images de clients ou de personnel sans base juridique.
- Ne pas disposer de procédure de gestion des violations.
Liste de vérification
- Traitements recensés.
- Données d'hébergement réduites au strict nécessaire.
- Réservations et marketing traités séparément.
- Wifi isolé et correctement porté à la connaissance des clients.
- Caméras proportionnées à la finalité de sécurité.
- Allergies avec accès restreint.
- Personnel informé des traitements qui le concernent.
- Fournisseurs avec contrat de sous-traitance ou de responsabilité défini.
- Conservation définie par catégorie de données.
- Droits et procédure de violation testés.
Questions fréquentes
Peut-on copier la pièce d'identité du client ?
L'obligation d'enregistrement dans les hébergements n'autorise pas, à elle seule, la conservation d'une copie complète de la pièce d'identité. L'AEPD (autorité espagnole de protection des données) a rappelé la nécessité d'appliquer le principe de minimisation des données.
Puis-je utiliser le téléphone de la réservation pour envoyer des promotions ?
Pas automatiquement. Une base juridique adaptée doit exister pour l'envoi de marketing, avec un mécanisme d'opposition simple.
Combien de temps conserve-t-on les enregistrements des caméras ?
En règle générale, le régime de vidéosurveillance fixe un maximum habituel d'un mois, sauf conservation liée à un incident conformément à la réglementation applicable.
Peut-on demander une adresse e-mail pour donner accès au wifi ?
Seulement si cela est nécessaire et qu'il existe une base juridique et une information adaptées. L'acceptation du marketing ne doit jamais être imposée comme condition d'accès au wifi.
Summum Consultoría peut examiner, dans un établissement d'hôtellerie-restauration, les processus de réservation, d'hébergement, de caméras, de fournisseurs et de conservation des données. Le service de DPO externe aide à maintenir à jour la cartographie des traitements et à répondre aux autorités, tandis que le service de mise en conformité RGPD de la vidéosurveillance traite spécifiquement l'installation et le régime des caméras.