Données personnelles

RGPD hôtels & restaurants 2026 : réservations, fiches de police, OTA + durées

RGPD hôtellerie-restauration : réservations et PMS, fiche de police des étrangers, wifi, fidélité, OTA (Booking, Expedia), durées de conservation et sanctions CNIL.

Pour être conforme au RGPD, un hôtel ou un restaurant doit encadrer chaque flux de données clients : réservation et séjour, fiche individuelle de police pour les voyageurs étrangers, wifi, fidélité, prospection et vidéosurveillance — chacun avec une base légale et une durée de conservation précises. Concrètement : tenir un registre des traitements, ne jamais conserver le cryptogramme (CVV) des cartes bancaires, encadrer par un contrat (DPA) le partage de données avec les plateformes de réservation (Booking, Expedia), purger les données inactives et informer clairement les clients de l’usage fait de leurs données.

Le secteur cumule des obligations RGPD classiques (marketing, fidélité, sécurité) et des obligations sectorielles spécifiques, notamment la fiche de police issue du CESEDA. Voici, traitement par traitement, ce que la CNIL attend d’un établissement hôtelier ou de restauration en 2026.

Obligations RGPD spécifiques à l’hôtellerie-restauration

Réservations et logiciel PMS

La réservation et le séjour sont le cœur de votre activité : nom, coordonnées, dates, numéro de chambre, préférences, éventuellement données de paiement transitent par votre logiciel hôtelier (PMS). La base légale est l’exécution du contrat (article 6-1-b du RGPD) : vous n’avez pas besoin du consentement pour gérer une réservation, mais vous devez informer le client au moment de la collecte (articles 13-14) et limiter les données à ce qui est nécessaire — le principe de minimisation. Chaque traitement doit figurer dans votre registre des traitements.

Ne conservez jamais le cryptogramme (CVV/CVC) de la carte bancaire. Il ne sert qu’à l’autorisation ponctuelle du paiement. Sa conservation, même chiffrée, est un manquement caractérisé à la sécurité (article 32) que la CNIL relève systématiquement. Le numéro de carte lui-même doit être tokenisé via votre prestataire de paiement (PSP), pas stocké en clair dans le PMS.

Fiche individuelle de police des voyageurs étrangers

C’est l’obligation sectorielle la plus spécifique. Tout hôtel, tout hébergement touristique doit faire remplir une fiche individuelle de police aux voyageurs étrangers (ressortissants hors France). Cette obligation découle du CESEDA (article R611-42) : la fiche est conservée six mois puis transmise, sur leur demande, aux services de police et aux unités de gendarmerie. La base légale RGPD est ici l’obligation légale (article 6-1-c) : vous n’avez ni à demander le consentement, ni à conserver ces fiches plus longtemps. Au-delà de six mois, la donnée doit être supprimée.

Wifi client et données de connexion

Si vous offrez un wifi à vos clients, vous êtes tenu de conserver certaines données de connexion (logs) en application des obligations issues du Code des postes et des communications électroniques : durée de référence d’un an. La base légale est l’obligation légale. Attention : ces logs ne doivent pas être détournés à des fins marketing. Le portail captif ne doit collecter que le strict nécessaire.

Programmes de fidélité, CRM et prospection

Le programme de fidélité et l’emailing marketing reposent sur une logique différente : ici, pas de contrat qui l’impose. La prospection commerciale par email vers des particuliers exige le consentement préalable (opt-in, article L34-5 du CPCE), et la gestion de la carte de fidélité repose selon les cas sur le consentement ou l’intérêt légitime. Le point de vigilance CNIL numéro un du secteur, c’est la conservation de clients inactifs pendant des années « au cas où » : il faut purger. Vérifiez la validité de votre consentement et documentez votre base juridique traitement par traitement. Si vous confiez ces campagnes à un prestataire, rappelez-vous que l’agence marketing devient votre sous-traitante et doit signer un DPA.

Plateformes de réservation (OTA : Booking, Expedia…)

Quand un client réserve via une OTA, un flux de données s’établit entre la plateforme et vous. Juridiquement, chacun est responsable de traitement pour ses propres finalités : l’OTA pour son intermédiation et son marketing, vous pour le séjour. Vous devez donc encadrer ce partage par un accord de traitement (DPA) ou une clause de répartition des responsabilités, vérifier les mentions d’information transmises au client, et surveiller les transferts hors UE — plusieurs OTA appartiennent à des groupes américains. Utilisez un modèle de DPA et cartographiez vos transferts hors UE (clauses contractuelles types, vérification du cadre d’adéquation).

Vidéosurveillance et cookies du site

Les caméras de l’établissement (accueil, couloirs, parking) relèvent de l’intérêt légitime pour la sécurité, avec information par affichage et une conservation limitée à un mois. Elles ne doivent jamais filmer les zones de repos du personnel ni, dans un restaurant, cibler en continu un poste de travail. Enfin, le site de réservation dépose des cookies : respectez les règles du bandeau CNIL (refus aussi simple que l’acceptation, aucun traceur avant le choix).

Durées de conservation

Donnée / traitement Durée en base active Archivage / justification
Client / réservation / séjour Durée de la relation contractuelle + 3 ans à des fins de prospection après le dernier contact ; obligations comptables (factures) 10 ans en archivage
Fiche individuelle de police (étranger) 6 mois Suppression obligatoire à 6 mois (CESEDA art. R611-42), après mise à disposition des autorités
Logs wifi client 1 an Obligation légale de conservation des données de connexion
Carte de fidélité Durée d’adhésion Purge des membres inactifs (typiquement après 2-3 ans sans activité)
Prospection / CRM marketing 3 ans après le dernier contact Consentement ou intérêt légitime ; réengagement au-delà interdit sans nouveau consentement
Vidéosurveillance 1 mois Sécurité des biens et des personnes ; conservation plus longue seulement en cas d’incident signalé
Données carte bancaire Non conservées (tokenisation PSP) CVV jamais conservé, même chiffré (art. 32)

Bases légales par traitement

Traitement Base légale (art. 6 / art. 9) Commentaire
Réservation et séjour Exécution du contrat (art. 6-1-b) Pas de consentement requis ; information au moment de la collecte
Fiche de police des étrangers Obligation légale (art. 6-1-c) Imposée par le CESEDA (art. R611-42)
Logs wifi / données de connexion Obligation légale (art. 6-1-c) Issue du CPCE ; usage strictement limité
Programme de fidélité Consentement (art. 6-1-a) ou intérêt légitime (art. 6-1-f) Selon le montage ; mise en balance à documenter
Prospection commerciale par email Consentement (art. 6-1-a) Opt-in préalable (art. L34-5 CPCE) pour les particuliers
Vidéosurveillance Intérêt légitime (art. 6-1-f) Information par affichage ; zones du personnel exclues
Partage avec les OTA Responsabilité conjointe / DPA (art. 26 / 28) Selon les finalités ; encadrement contractuel obligatoire

Sanctions CNIL réelles du secteur

Soyons honnêtes : il n’existe pas, à ce jour, de sanction CNIL médiatisée visant nommément un « hôtel » ou un « restaurant ». Cela ne signifie pas que le secteur est hors radar — la CNIL contrôle activement les plateformes de réservation, la prospection et les programmes de fidélité, qui sont précisément les points sensibles de l’hôtellerie-restauration. Deux sanctions adjacentes, directement transposables à vos traitements, doivent servir de repères.

CARREFOUR FRANCE — 2 250 000 € (délibération du 18 novembre 2020, SAN-2020-009). En cause : un programme de fidélité conservant les données de 28 millions de clients inactifs pendant 5 à 10 ans, des cookies déposés avant consentement et une information peu accessible. Le parallèle avec une carte de fidélité hôtelière mal purgée est immédiat. Voir le communiqué CNIL.

GROUPE CANAL+ — 600 000 € (12 octobre 2023). En cause : la prospection par email de 4 millions de personnes sans consentement valide, une information insuffisante en télémarketing et le non-respect du délai d’un mois pour répondre aux droits. Tout établissement qui envoie des campagnes marketing à sa base clients est concerné (communiqué CNIL). Le message est clair : votre exposition réelle vient du marketing et des OTA, pas du registre de réservation.

Erreurs courantes

  • Conserver le cryptogramme (CVV) de la carte bancaire pour « faciliter » une prochaine réservation — manquement direct à l’article 32, à proscrire absolument.
  • Garder les fiches de police au-delà de 6 mois ou, à l’inverse, ne pas les faire remplir aux voyageurs étrangers : les deux sont des non-conformités.
  • Réutiliser l’adresse email d’une réservation pour de la prospection sans base légale ni information : la finalité « séjour » ne couvre pas la finalité « marketing ».
  • Ne pas encadrer contractuellement le partage de données avec les OTA ni vérifier les transferts hors UE des grandes plateformes.
  • Conserver indéfiniment les membres inactifs du programme de fidélité au lieu de les purger — l’erreur exacte sanctionnée dans l’affaire Carrefour.
  • Filmer en continu les postes de travail des salariés ou les zones de repos avec la vidéosurveillance de l’établissement.

FAQ

Combien de temps doit-on conserver la fiche de police d’un client étranger ?

Six mois. Le CESEDA (article R611-42) impose de conserver la fiche individuelle de police pendant six mois, période durant laquelle elle peut être transmise aux services de police et de gendarmerie qui en font la demande. Passé ce délai, elle doit être supprimée : la conserver plus longtemps n’a aucune base légale.

Un restaurant qui ne prend que des réservations téléphoniques doit-il un registre RGPD ?

Oui. Dès lors que vous enregistrez des noms, numéros de téléphone et emails de clients — même sur un simple cahier numérique ou un logiciel de réservation — vous effectuez un traitement de données personnelles. Le registre des traitements est obligatoire, et la dispense de l’article 30(5) ne s’applique pas à des traitements réguliers comme la gestion de clientèle.

Booking et Expedia sont-ils mes sous-traitants ou des responsables de traitement ?

Dans la plupart des cas, ce sont des responsables de traitement autonomes (voire conjoints) : ils déterminent leurs propres finalités (intermédiation, marketing, avis). Vous devez donc encadrer le partage par une clause de répartition ou un accord de traitement, vérifier l’information délivrée au client et surveiller les éventuels transferts hors UE.

Puis-je garder les données d’un client pour lui envoyer des offres l’année suivante ?

Oui, mais dans un cadre précis : prospection auprès d’un ancien client sur des produits analogues, avec une durée de 3 ans après le dernier contact et un lien de désinscription dans chaque message. Au-delà, ou pour un prospect qui n’a jamais séjourné chez vous, il faut un consentement préalable.

Conclusion

Dans l’hôtellerie-restauration, la conformité RGPD n’a rien d’insurmontable : elle se joue sur une poignée de traitements bien identifiés. Sécurisez le paiement (jamais de CVV), respectez à la lettre la fiche de police et sa durée de six mois, encadrez vos OTA par contrat, purgez la fidélité et l’inactif, et gardez une vidéosurveillance sobre. Le vrai risque de sanction ne vient pas du séjour lui-même mais du marketing et du partage de données — exactement là où la CNIL a frappé Carrefour et Canal+. Un outil comme Legiscope, qui automatise le registre des traitements et les AIPD, vous permet de documenter tout cela une fois pour toutes et de le maintenir à jour sans y passer vos soirées. Commencez par le registre : il fait apparaître, traitement par traitement, ce qu’il vous reste à corriger. Voir aussi les durées de conservation recommandées par la CNIL.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →