Conformités et obligations

RGPD en hôtellerie : gérer les données clients sans risque

5
min de lecture
-
03 July 2026

Un client envoie un email à la réception. Il demande, sur la base du RGPD, à accéder à l'ensemble des données que l'hôtel détient sur lui. L'hôtel a un mois pour répondre. Le directeur ouvre son PMS, son logiciel d'emailing, sa base de données clients. Il réalise qu'il n'a aucune vue consolidée de ce que son établissement a collecté, ni de combien de temps ces données sont conservées.

Ce scénario n'est pas rare. Et il illustre un problème structurel : la plupart des hôtels collectent des données clients en volume significatif, sur des points de contact très variés, sans avoir formalisé les règles qui encadrent cette collecte.

Le RGPD s'applique aux hôtels depuis mai 2018 sans dérogation sectorielle. Ce qui change, c'est la nature et la diversité des données que les hôtels traitent, et le nombre d'intervenants impliqués dans ce traitement.

Pourquoi les hôtels sont particulièrement concernés

Un commerce classique collecte principalement des données transactionnelles. Un hôtel collecte des données d'identité, de paiement, de préférence, de comportement pendant le séjour, de santé dans certains cas (allergies, accessibilité), de connexion réseau, et parfois de convictions religieuses ou philosophiques via les choix alimentaires.

Cette densité de données s'explique par la nature du service : l'hôtellerie est une hospitalité prolongée, pas une transaction ponctuelle. Le client vit dans l'établissement pendant plusieurs heures ou plusieurs jours. Il laisse des traces à chaque étape : à la réservation, au check-in, pendant le séjour, au check-out, et parfois longtemps après via les campagnes de fidélisation.

À cela s'ajoute une spécificité légale propre à l'hôtellerie en France : les fiches de police. Tout hôtelier est tenu de faire remplir une fiche d'identité aux clients non ressortissants de l'Union européenne. Ces fiches contiennent des données sensibles et doivent être conservées pendant six mois, à disposition des autorités, puis détruites. C'est un traitement réglementé distinct du RGPD mais qui s'y articule.

Enfin, les hôtels fonctionnent avec de nombreux sous-traitants numériques : PMS, channel manager, OTA, outil d'emailing, prestataire wifi, système de vidéosurveillance. Chacun traite des données clients pour le compte de l'hôtel. Le RGPD impose à l'hôtel, en tant que responsable de traitement, de s'assurer que chacun de ces prestataires traite les données de façon conforme, et de le formaliser contractuellement.

Les données qu'un hôtel collecte et leurs bases légales

Avant de parler de conformité, il faut savoir précisément ce que l'on traite. Les données collectées par un hôtel se répartissent en plusieurs catégories selon le moment de la collecte.

Avant l'arrivée, la réservation génère des données d'identité (nom, prénom, coordonnées), de paiement (numéro de carte ou garantie), et parfois de préférence (type de chambre, régime alimentaire, heure d'arrivée prévue). La base légale est l'exécution du contrat : ces données sont nécessaires pour fournir le service.

Pendant le séjour, l'hôtel peut collecter des données de connexion wifi (adresse IP, logs de navigation, durée de connexion), des demandes de service en chambre, des données de consommation au restaurant ou au spa, et des retours de satisfaction. La base légale varie : intérêt légitime pour les logs wifi, contrat pour les prestations, consentement pour les enquêtes de satisfaction.

Après le départ, les données servent à la facturation, à la communication post-séjour et aux campagnes de fidélisation. La facturation relève d'une obligation légale (conservation comptable). La communication marketing relève du consentement ou de l'intérêt légitime, sous conditions strictes.

Cette distinction par base légale n'est pas anecdotique : elle conditionne ce que l'hôtel peut faire avec les données, et pendant combien de temps il peut les conserver.

Les durées de conservation à respecter

C'est souvent le point le moins formalisé dans les hôtels. Les données s'accumulent dans le PMS sans règle de purge explicite. Le RGPD impose pourtant une durée limitée, adaptée à la finalité du traitement.

Quelques repères pratiques pour l'hôtellerie :

Les données de réservation et de séjour se conservent pendant la durée de la relation commerciale, puis cinq ans pour répondre à d'éventuels litiges ou obligations comptables. Au-delà, elles doivent être supprimées ou anonymisées.

Les logs de connexion wifi se conservent un an, conformément à l'obligation légale française de traçabilité. Au-delà d'un an, ils doivent être effacés. Ce délai est souvent mal configuré dans les solutions wifi hôtelières.

Les données de prospection et de fidélisation se conservent trois ans après le dernier contact actif avec le client. Un client qui n'a pas séjourné depuis trois ans et qui n'a pas ouvert les emails de l'hôtel depuis la même période doit être sorti de la base active ou avoir son consentement renouvelé.

Les images de vidéosurveillance se conservent au maximum trente jours, sauf extraction en cas d'incident (vol, litige), qui peut être conservée le temps de la procédure.

Les fiches de police pour les clients non ressortissants UE se conservent six mois à disposition des autorités, puis doivent être détruites.

Fixer ces durées par écrit et les faire respecter dans les outils est l'une des actions les plus simples à mettre en place, et l'une des premières vérifiées en cas de contrôle de la CNIL.

Les cinq obligations pratiques à mettre en place

Tenir un registre des traitements. C'est le document de base de toute conformité RGPD. Il liste tous les traitements de données effectués par l'hôtel (réservations, wifi, fidélisation, vidéosurveillance, etc.), pour chacun : la finalité, la base légale, les catégories de données concernées, les destinataires, et la durée de conservation. La CNIL met à disposition un modèle gratuit. Un hôtel indépendant peut tenir ce registre en quelques heures sur tableur.

Informer les clients. À chaque point de collecte de données, le client doit être informé de façon claire et accessible. Sur le site web (formulaire de réservation, page de contact), à la réception (affichage ou QR code), sur les formulaires papier. Cette information doit mentionner l'identité du responsable de traitement, les finalités, les droits du client, et les coordonnées de contact pour exercer ces droits.

Encadrer les sous-traitants. Chaque prestataire qui traite des données clients pour le compte de l'hôtel doit avoir signé un accord de traitement des données (DPA ou clauses contractuelles équivalentes). Cela concerne le PMS, le channel manager, l'outil d'emailing, le prestataire wifi, et le système de réservation. Sans ce document, l'hôtel est exposé en cas de violation de données chez un prestataire.

Permettre l'exercice des droits. Le client peut demander à accéder à ses données, les faire corriger, les faire effacer, ou s'opposer à leur utilisation à des fins marketing. L'hôtel doit disposer d'un point de contact dédié (email spécifique) et d'une procédure interne pour traiter ces demandes dans le délai légal d'un mois.

Sécuriser les accès. Les accès au PMS et aux bases de données clients doivent être nominatifs, avec des mots de passe robustes, des droits différenciés selon les rôles, et une procédure de révocation immédiate lors des départs de personnel. Un accès partagé à la réception sur un compte générique est une non-conformité courante et facilement corrigeable.

Ce que les outils numériques doivent garantir

La conformité RGPD d'un hôtel dépend en grande partie de la conformité des outils qu'il utilise. Vérifier que son PMS est conforme RGPD, que son outil d'emailing propose un mécanisme de désinscription fonctionnel, et que son prestataire wifi conserve les logs dans le bon délai, n'est pas optionnel.

Pour la gestion des données clients, trois critères sont structurants. L'outil doit permettre l'export des données d'un client en cas de demande d'accès. Il doit permettre la suppression ou l'anonymisation des données à une date précise. Et il doit documenter les accès et modifications pour assurer la traçabilité.

Une base de données hôtelière conforme centralise les informations clients tout en garantissant la conformité RGPD : accès restreints par rôle, durées de conservation paramétrables, export sur demande, et hébergement des données en Europe. Ces critères permettent à l'hôtel de répondre à une demande de droits en quelques minutes plutôt qu'en plusieurs heures.

Les sanctions et comment les éviter

Les sanctions prévues par le RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les manquements les plus graves. En pratique, la CNIL privilégie une approche progressive : mise en demeure, injonction, puis sanction financière si les manquements persistent.

Ce que la CNIL vérifie en priorité lors d'un contrôle : l'existence d'un registre des traitements, la qualité de l'information fournie aux clients, le respect des durées de conservation, la sécurité des accès, et la présence de contrats avec les sous-traitants. Ces cinq points sont tous accessibles à un hôtel indépendant sans accompagnement juridique spécialisé.

Le risque réputationnel est souvent plus immédiat que le risque financier. Une violation de données rendue publique, une demande de droits non traitée dans les délais, ou une plainte client auprès de la CNIL affectent la confiance des clients et l'image de l'établissement bien avant toute sanction administrative.

Par où commencer concrètement

Pour un hôtel qui part de zéro, la séquence la plus efficace est la suivante.

D'abord, faire l'inventaire : lister tous les outils qui collectent ou stockent des données clients (PMS, channel manager, emailing, wifi, caméras, tableur en réception). Pour chacun, identifier quelles données sont concernées et depuis combien de temps elles sont conservées.

Ensuite, rédiger ou mettre à jour le registre des traitements, en suivant le modèle CNIL, et fixer des durées de conservation pour chaque traitement.

Puis vérifier que les politiques de confidentialité sont en place sur le site web et à la réception, et qu'elles sont lisibles sans être avocat.

Enfin, contacter chaque prestataire numérique pour obtenir leur DPA ou vérifier que les clauses RGPD sont présentes dans les contrats en cours.

Ce travail prend généralement une à deux journées lors d'une première mise en conformité. Une fois les bases posées, la maintenance est légère : une révision annuelle du registre, une vérification des durées de conservation, et une mise à jour lors de l'ajout de nouveaux outils.

GetWelcom intègre la conformité RGPD dans la gestion des données clients : hébergement des données en Europe, accès nominatifs et différenciés, export sur demande, et paramétrage des durées de conservation. Pour voir comment GetWelcom structure la gestion des données dans votre établissement : demandez une démonstration gratuite sur getwelcom.com.

Cet article fournit des repères pratiques généraux et ne constitue pas un conseil juridique. En cas de situation complexe (groupe multi-établissements, traitements spécifiques, violation de données), un accompagnement juridique spécialisé est recommandé.

Hadrien REAUD
Co-fondateur de Getwelcom
03 July 2026

Nous contacter

Contact
Démo
Les champs requis sont marqués d’un astérisque*
Merci, nous revenons vers vous rapidement !
Une erreur est survenue. Veuillez réessayer.