L'hôtellerie-restauration est l'un des secteurs à plus forte densité de traitements de données à caractère personnel : le client communique son nom, son numéro de document d'identité et sa carte de crédit avant même de franchir la porte. La mise en conformité avec le Règlement (UE) 2016/679 — RGPD — dans cet environnement exige d'identifier précisément quelles données sont collectées à chaque point de service, quelle base de licéité les couvre et quelles informations doivent être fournies au client. L'article 6 du RGPD fixe les bases légales du traitement : pour une réservation, la base habituelle est l'exécution d'un contrat (art. 6.1.b) ; pour une caméra de sécurité dans le hall, l'intérêt légitime de l'établissement (art. 6.1.f) ou l'exécution d'une obligation légale peut être la base appropriée selon les circonstances ; et pour un programme de fidélité incluant des communications commerciales, le consentement explicite du client (art. 6.1.a) est pratiquement toujours nécessaire.
Le registre des voyageurs est l'une des obligations les plus caractéristiques du secteur de l'hébergement. Le Décret royal 933/2021 du 26 octobre (Real Decreto 933/2021) réglemente l'obligation pour les établissements d'hébergement de collecter les données de leurs hôtes — nom et prénom, numéro de document d'identité, date de naissance, sexe, nationalité et date d'arrivée — et de les communiquer aux Forces et Corps de Sécurité de l'État dans un délai maximum de vingt-quatre heures. Du point de vue du RGPD, ce traitement repose sur l'exécution d'une obligation légale (art. 6.1.c du RGPD), ce qui dispense l'établissement de recueillir le consentement à cette fin spécifique. Néanmoins, l'hôtel reste tenu d'informer l'hôte de ce traitement au préalable, au moyen d'un avis de confidentialité lors du processus d'enregistrement, et de garantir que les données ne sont pas utilisées à des fins autres que celles prévues par la réglementation.
La vidéosurveillance est une autre source fréquente de non-conformité dans le secteur de l'hôtellerie-restauration. Les caméras installées dans le hall, le parking, le comptoir ou les parties communes sont soumises à l'article 22 de la LOPDGDD, qui impose l'apposition de panneaux d'information en un endroit visible avertissant de l'existence du système, avec indication du responsable du traitement et des modalités permettant aux personnes concernées d'exercer leurs droits. Les images captées ne peuvent être conservées que pendant un délai maximum de trente jours, sauf si elles sont nécessaires pour établir la commission d'une infraction pénale ou administrative. Les caméras orientées vers des espaces privés des travailleurs — vestiaires, réfectoires, zones de repos — ou vers la voie publique sortent du cadre autorisé par le RGPD et la LOPDGDD dans ce contexte. Pour les installations destinées au contrôle de l'activité en cuisine ou en salle, il convient de distinguer si la finalité est la sécurité de l'établissement ou la supervision du personnel : cette dernière peut nécessiter une notification préalable au salarié conformément à l'article 89 de la LOPDGDD.
Le Wi-Fi gratuit pour les clients est un traitement fréquemment géré sans les documents minimaux requis. Lorsque l'établissement déploie un portail captif qui demande un nom, une adresse électronique, un numéro de chambre ou d'autres données pour accorder l'accès au réseau, il initie un traitement de données à caractère personnel qui exige, au minimum, le respect de l'obligation d'information de l'article 13 du RGPD avant que l'utilisateur ne fournisse ses données. Si, de surcroît, ces informations sont utilisées pour envoyer des communications commerciales ou des promotions de l'établissement, la base légale devient le consentement éclairé et spécifique de l'utilisateur, qui doit être clairement distinct de la simple condition d'accès au service.
Les programmes de fidélité et le marketing direct représentent le traitement au plus fort potentiel commercial pour le secteur, mais aussi l'un de ceux qui font l'objet du plus grand contrôle réglementaire. La LOPDGDD (LO 3/2018) exige que l'envoi d'offres, de remises ou de lettres d'information repose sur le consentement libre, spécifique, éclairé et non ambigu du destinataire, sauf s'il s'agit d'un client existant et que la communication porte sur des produits ou services analogues à ceux déjà contractés, auquel cas l'exception de la relation contractuelle préexistante peut s'appliquer. En tout état de cause, le client doit pouvoir exercer à tout moment son droit d'opposition au marketing direct, et l'établissement doit garantir que les demandes sont traitées sans retard injustifié. Summum Consultoria accompagne les établissements hôteliers dans la conception de processus de recueil du consentement à la fois pratiques pour l'activité et conformes aux exigences réglementaires.