RGPD pour les hôtels de charme : liste de contrôle 2026 en 12 étapes (PCI 4.0.1)
Liste de contrôle RGPD en 12 étapes pour les hôtels de 20 à 80 chambres : cartographie des données, DPA, notification de violation dans les 72 heures,…
Dans cet article(9)
Un hôtel de 34 chambres à Munich a reçu une demande d’accès à un sujet invité un mardi matin. L’e-mail comprenait la phrase « en vertu de l’article 15 ». Le directeur général ne savait pas lequel de ses neuf systèmes détenait les données des clients, aucune politique de rétention documentée et aucun DPA signé avec son gestionnaire de canaux. Ils avaient 30 jours pour répondre. Il a fallu environ 3 400 € en frais juridiques et des semaines de panique pour répondre à une demande qu’un audit de conformité de 90 minutes aurait rendu routinier.
La conformité au RGPD pour les petits hôtels ne consiste pas à créer un service juridique. Il s’agit de comprendre cinq obligations concrètes, de cartographier l’endroit où se trouvent réellement vos données et de préparer des réponses documentées avant qu’un client ne le demande. Ce guide couvre exactement cela, pour une propriété de 20 à 80 pièces, sans la facture du consultant de 5 000 €.
Avertissement : Cet article fournit uniquement des conseils opérationnels. Il ne s’agit pas d’un avis juridique. La situation de chaque propriété est différente et vous devriez consulter un avocat qualifié en matière de protection des données ou un DPD certifié pour obtenir des conseils spécifiques à votre situation.
Ce que le RGPD exige réellement d’un hôtel de 30 chambres
Le règlement semble intimidant. En pratique, cela se résume à cinq obligations pour un petit hôtel :
1. Base juridique pour chaque activité de traitement. Vous avez besoin d’une raison juridique documentée pour chaque catégorie de données client que vous collectez. La plupart des données opérationnelles (nom, détails de la réservation, informations de paiement) sont couvertes par l’exécution du contrat en vertu de l’article 6, paragraphe 1, point b). Les e-mails marketing nécessitent un consentement explicite en vertu de l’article 6, paragraphe 1, point a). L’obligation est de savoir sur quelles bases on s’appuie pour chaque objectif, et non d’en inventer de nouvelles.
2. Inventaire et cartographie des données. Vous devez être capable de dire : quelles données vous détenez, où elles se trouvent, qui y a accès, combien de temps vous les conservez et avec qui vous les partagez. Il s’agit de votre enregistrement des activités de traitement (RoPA), requis en vertu de l’article 30. Il n’est pas nécessaire qu’il soit élaboré, une feuille de calcul fonctionne.
3. Accords de traitement des données (DPA) avec chaque sous-traitant. Sous Article 28 du RGPD, tout tiers traitant des données personnelles en votre nom doit signer un DPA. Cela couvre votre fournisseur PMS, votre gestionnaire de canaux, votre plateforme de messagerie, votre fournisseur Wi-Fi, votre moteur de réservation et votre processeur de paiement. La plupart des grands fournisseurs ont leur DPA prêt ; le problème est que la plupart des hôtels ne les signent jamais.
4. Notification de violation dans les 72 heures. Si des données personnelles sont compromises et que la violation est « susceptible d’entraîner un risque pour les droits et libertés des personnes physiques », vous devez en informer votre autorité de contrôle nationale dans les 72 heures sous Article 33 du RGPD. Le non-respect de ce délai constitue en soi une violation, même si le manquement sous-jacent était mineur.
5. Répondez aux demandes des personnes concernées dans un délai de 30 jours. Les clients peuvent demander l’accès à leurs données (article 15), demander une rectification (article 16), exiger l’effacement (article 17) ou demander la portabilité (article 20). Vous disposez d’un mois calendaire pour répondre à compter de la date de réception.
Ces cinq obligations couvrent 90 % de ce que vise réellement l’application du RGPD dans le secteur hôtelier. Selon le Suivi de l’application du RGPD, les autorités de protection des données de 15 pays ont infligé 83 amendes dans le secteur de l’hébergement et de l’hôtellerie, pour un total d’environ 22,6 millions d’euros, la collecte inappropriée de données et la vidéosurveillance étant les violations les plus courantes.
Votre inventaire de données clients : où elles se trouvent réellement
La plupart des hôtels-boutiques traitent les données des clients dans plus de systèmes que leur directeur général ne le pense. Une propriété typique de 40 pièces contient des données à au moins huit endroits :
| Système | Données stockées | DPA requis ? |
|---|---|---|
| Système de gestion immobilière (PMS) | Noms, dates, préférences de chambre, jetons de paiement, notes | Oui |
| Gestionnaire de chaînes | Données de réservation des OTA (Booking.com, Expedia) | Oui |
| Moteur de réservation | Données de réservation directe, détails de la carte de crédit | Oui |
| Outil de marketing par e-mail | Adresses e-mail, enregistrements de consentement, taux d’ouverture | Oui |
| Processeur de paiement | Données de carte (tokénisées), historique des transactions | Oui |
| Portail captif Wi-Fi | Adresse e-mail, identifiant de l’appareil, journaux de session | Oui |
| Caméras de vidéosurveillance/sécurité | Séquences vidéo des invités dans les espaces communs | Oui |
| Plateforme d’avis (TripAdvisor, etc.) | Examens publics, réponses de la direction | Contrôleur partagé |
Pour la plupart des hôtels-boutiques, le PMS est le référentiel principal, c’est pourquoi la sécurité et la conformité de votre choix PMS sont extrêmement importantes. Pour une vue complète de la façon dont votre PMS se connecte au reste de votre pile, consultez le guide technologique des hôtels de charme.
La vidéosurveillance mérite une attention particulière. Selon le Rapport GDPR Enforcement Tracker sur l’hébergement et l’accueil, la vidéosurveillance représente environ les deux tiers de toutes les amendes dans le secteur hôtelier. Violations courantes : caméras couvrant les zones réservées au personnel sans préavis, images conservées plus longtemps que nécessaire, aucune signalisation affichée informant les invités de l’enregistrement.
Comment gérer en pratique la demande de « droit à l’oubli » d’un client ?
La réponse courte : vous disposez d’un mois et vous devez effacer de chaque système tout en conservant ce que la loi vous oblige à conserver.
Les étapes pratiques, dans l’ordre :
Étape 1 : Vérifiez l’identité. Avant de faire quoi que ce soit, confirmez que la demande provient du voyageur réel et non d’un tiers. Demandez la confirmation de la référence de réservation ou de l’adresse email figurant au dossier. Vous n’avez pas besoin de demander une copie de leur pièce d’identité pour une demande d’effacement de base.
Étape 2 : Étendez la demande. Le client souhaite-t-il que tout soit supprimé ou uniquement les données marketing ? La plupart des demandes d’effacement sont déclenchées par des e-mails marketing continus après un séjour. Clarifiez avant d’agir.
Étape 3 : Vérifiez les obligations de conservation. Certaines données ne peuvent pas être supprimées même si le client le demande. Les dossiers fiscaux doivent être conservés pendant la période légalement requise (généralement 6 à 10 ans dans les juridictions de l’UE). Les registres de police (obligatoires en Pologne, en Espagne, en Allemagne et dans plusieurs autres pays de l’UE) ont leurs propres périodes de conservation légales. Il peut être nécessaire de conserver les enregistrements de litiges de paiement pendant une période définie. L’effacement ne s’applique que lorsqu’aucune autre obligation légale ne la prévaut.
Étape 4 : Effacer de tous les systèmes. C’est la partie la plus difficile. Parcourez tous les systèmes de votre inventaire de données : PMS, outil de messagerie, journaux Wi-Fi, examen de la correspondance de la plateforme. « Effacement » peut signifier une suppression effective ou une anonymisation (remplacement des champs d’identification par un pseudonyme).
Étape 5 : Documentez la réponse. Sous Article 17 du RGPD, vous devez répondre dans un délai d’un mois et confirmer ce que vous avez supprimé et ce que vous avez conservé (et pourquoi). Conservez ce registre pendant au moins trois ans.
Le calendrier réaliste pour un hôtel de 40 chambres qui a correctement cartographié ses données : environ trois heures de travail. Pour une propriété qui n’a pas fait ses devoirs : trois jours d’accès effrénés au système.
La règle de notification des violations dans les 72 heures : ce qui compte comme une violation
C’est là que les petits hôtels se trompent le plus souvent de logique.
L’approche naïve consiste à décider en interne qu’un petit incident « n’a probablement pas d’importance » et à ignorer la notification. Cela échoue dans le cadre du Article 33 du RGPD, qui fixe le seuil de notification à “susceptible d’entraîner un risque pour les droits et libertés des personnes physiques”, une barre bien plus basse que “nous pensons que c’est grave”.
Le modèle de travail est un manuel documenté de tri des violations avec un délai de décision interne de 24 heures, et non de 72 heures. Vous avez besoin des premières 24 heures pour évaluer la gravité, puis des 48 heures restantes pour rédiger et soumettre la notification si nécessaire.
Scénarios pratiques où démarre l’horloge de 72 heures :
Scénario 1 : Un ordinateur portable contenant des e-mails d’invités est volé au front office. Même si l’ordinateur portable était protégé par mot de passe, une liste de diffusion d’invités non cryptée sur un appareil perdu atteint le seuil. Notification requise.
Scénario 2 : un membre du personnel clique sur un lien de phishing et l’attaquant accède au compte de messagerie pendant 20 minutes. Si le compte de messagerie contenait des confirmations de réservation de clients (qui contiennent les noms, les dates d’arrivée et les numéros de réservation), il s’agit d’une violation de données personnelles. Notification requise.
Scénario 3 : Il s’avère qu’un terminal de paiement est équipé d’un dispositif de écrémage. Si les données du titulaire de la carte ont été potentiellement capturées, cela déclenche à la fois une notification RGPD (à l’autorité de contrôle) et des procédures d’incident PCI DSS (informez votre banque acquéreuse).
Scénario 4 : Un membre du personnel interne envoie par e-mail une liste d’invités à son compte personnel. Intentionnel ou accidentel, il s’agit d’une violation de la confidentialité et doit être triée.
Ce dont vous avez besoin avant que quelque chose ne se passe mal : un manuel écrit de réponse aux violations qui indique qui prend la décision de notification, quelle autorité de contrôle contacter (chaque pays de l’UE a la sienne) et quelles informations inclure dans la notification. Le guide de cybersécurité couvre en détail les aspects techniques de la réponse aux violations. Voir le guide de cybersécurité et de protection des données des hôtels pour la séquence de réponse aux incidents étape par étape. Pour une couche de conformité plus approfondie combinant PCI DSS v4.0 et RGPD spécifiquement pour les indépendants de 60 chambres (où se situent la plupart des compromis entre coût et contrôle), consultez le analyse approfondie de la cybersécurité des hôtels sur PCI DSS et RGPD pour 2026.
Politiques de conservation : combien de temps vous devez (et ne devez pas) conserver les données des clients
Le RGPD ne fixe pas de périodes de conservation fixes. Cela nécessite que vous les définissiez vous-même, que vous les documentiez et que vous les appliquiez réellement. La contrainte est que vous ne pouvez pas conserver les données plus longtemps que nécessaire aux fins pour lesquelles elles ont été collectées.
En pratique, les hôtels sont soumis à de multiples obligations de conservation qui se chevauchent :
Documents fiscaux et comptables : Dans la plupart des pays de l’UE, les documents financiers, y compris les factures des clients, doivent être conservés pendant 6 à 10 ans. L’Allemagne exige 10 ans en vertu du Handelsgesetzbuch (HGB). La Pologne exige 5 ans en vertu de la législation fiscale. L’Espagne exige 6 ans. Ces enregistrements peuvent être conservés même si un client demande leur effacement, l’obligation légale l’emporte.
Enregistrement par la police (Meldepflicht) : L’Allemagne, la Pologne, l’Espagne et plusieurs autres pays de l’UE exigent que les hôtels enregistrent leurs clients auprès des autorités locales ou tiennent un registre des clients. Les périodes de conservation varient selon les pays : en Allemagne, généralement 12 mois pour le formulaire d’inscription, en Pologne plus longtemps dans certaines régions. Ce sont des obligations légales, pas votre choix.
Enregistrements de consentement marketing : Si vous avez recueilli le consentement pour une newsletter, conservez l’enregistrement de consentement (horodatage, adresse IP, ce qui a été convenu) pendant la durée de la relation marketing plus une période raisonnable après (généralement 3 ans). Il n’est pas nécessaire de conserver les e-mails marketing réels.
Images de vidéosurveillance : La plupart des DPA recommandent un délai maximum de 72 heures à 30 jours pour les images de surveillance générale dans les zones communes de l’hôtel, à moins que des images ne soient nécessaires pour une enquête active.
Un calendrier de rétention pratique pour un bien de 40 pièces :
| Type de données | Période de conservation | Base juridique | Méthode de suppression |
|---|---|---|---|
| Factures/folios des invités | 7 ans | Obligation fiscale | Archive planifiée |
| Profils des clients (après séjour) | 2 ans (puis anonymiser) | Intérêt légitime | Suppression automatique ou manuelle du PMS |
| Liste de diffusion marketing | Actif + 3 ans post-opt-out | Consentement | Outil de suppression ESP |
| Images de vidéosurveillance | 14 jours | Intérêt légitime | Écrasement automatique |
| Enregistrement à la police | Conformément à la loi locale | Obligation légale | Comme spécifié |
| Dossiers de violation | 3 ans minimum | Obligation de documentation | Suppression sécurisée |
DPA avec vos fournisseurs de technologie : la tâche de 30 minutes que vous évitez
Un accord de traitement de données est un contrat juridiquement contraignant qui précise comment un fournisseur traite les données personnelles en votre nom, quelles mesures de sécurité il maintient et ce qu’il advient des données lorsque la relation prend fin. Article 28 du RGPD nécessite que vous en ayez un avec chaque fournisseur qui gère les données des clients.
La plupart des hôtels-boutiques n’ont signé aucun DPA. Les vendeurs les ont presque certainement, mais l’hôtel n’a tout simplement jamais signé.
Où les trouver et à quoi s’attendre :
Fournisseurs PMS. Cloudbeds inclut un DPA dans ses conditions standard, accessible depuis les paramètres du compte. Mews fournit un DPA sur demande via son équipe juridique/conformité. Petit Hôtelier inclut les conditions de traitement des données dans son contrat de service. RoomRaccoon dispose d’un DPA disponible dans son centre de confiance.
Plateformes de communication invité. Pour Duve, Akia, Technologies Canaries, Guestivo ou tout outil similaire, obtenez le DPA actuel et mappez les données exactes et les sous-processeurs utilisés par le flux de travail acheté. Ne présumez pas que tous les fournisseurs traitent la messagerie avant l’arrivée ou les mêmes canaux. La portée vérifiée de Guestivo comprend son portail invité, le chat dans l’application et l’enregistrement en ligne/pré-enregistrement tokenisé pour les réservations connectées à Apaleo ou créées manuellement ; si une vérification d’identité, des paiements ou un autre fournisseur entre dans le flux, documentez chaque processeur et objectif licite séparément.
Marketing par e-mail. Mailchimp, Brevo (anciennement Sendinblue) et Klaviyo proposent tous des DPA en libre-service dans les paramètres de leur compte.
Outils de consentement aux cookies. Termly et OneTrust fournissent des modèles DPA dans le cadre de leurs abonnements à leur plateforme de conformité. Les trimestres commencent à environ 10 $/mois ; OneTrust propose des tarifs d’entreprise.
Le processus : recherchez le DPA ou l’addendum sur le traitement des données du fournisseur, examinez les clauses clés (suppression des données en cas de résiliation, divulgation au sous-traitant ultérieur, notification de violation) et exécutez. Pour la plupart des fournisseurs SaaS, il s’agit d’un processus numérique de signature en un clic. Prévoyez 30 minutes pour balayer tous vos fournisseurs en une seule session.
Notez que lors d’une migration PMS, vos obligations DPA sont transférées au nouveau fournisseur. Le guide de migration du PMS pour les hôtels couvre les étapes pratiques du transfert des données, y compris ce qui arrive aux données des invités qui existaient dans l’ancien système.
Consentement aux cookies, analyses et site Web de votre hôtel
Après le TCF 2.2, le « consentement implicite » lors de la poursuite de la navigation n’est pas valide au titre du RGPD. Une bannière cookie conforme doit :
- Apparaître avant que des cookies non essentiels ne soient définis
- Offre des options d’acceptation et de rejet tout aussi importantes (le bouton « rejeter » ne peut pas être masqué, plus petit ou gris)
- Fournir un opt-in granulaire par objectif (analyse vs publicité vs personnalisation)
- Permettre aux utilisateurs de retirer leur consentement aussi facilement qu’ils l’ont accordé (généralement un lien persistant dans le pied de page)
- Ne pas utiliser de cases pré-cochées
Ce que cela signifie pour un site Web d’hôtel typique : Google Analytics fonctionne sur la base d’un intérêt légitime dans certaines interprétations, mais si vous utilisez des pixels de remarketing Google Ads, Meta Pixel ou des trackers publicitaires similaires, ceux-ci nécessitent un consentement explicite. Un hôtel croate a été condamné à une amende de 45 000 € par l’APD croate spécifiquement pour traitement illégal via des cookies sans consentement valide.
Outils pratiques : CookieYes (à partir de ~10$/mois) et Cookiebot (à partir de ~10$/mois) analysent automatiquement votre site à la recherche de cookies, génèrent une bannière conforme et produisent une politique en matière de cookies. Les deux s’intègrent à WordPress et à la plupart des créateurs de sites Web. Termly couvre à la fois le consentement aux cookies et la gestion du DPA si vous souhaitez une plateforme unique.
Une mise à jour RGPD de 5 jours pour un hôtel de 40 chambres
Si vous partez de zéro, cette séquence permet d’effectuer le travail critique sans surcharger votre équipe :
| Jour | Tâche | Temps estimé |
|---|---|---|
| Jour 1 | Inventaire des données, répertoriez chaque système, quelles données il contient, qui y a accès | 2-3 heures |
| Jour 2 | Les DPA balayent, localisent, examinent et signent les DPA avec tous les sous-traitants | 2-4 heures |
| Jour 3 | Rédiger une politique de conservation, définir des périodes pour chaque catégorie de données, documenter dans un modèle de politique | 1-2 heures |
| Jour 4 | Manuel de violation, document d’une page nommant le décideur, le contact DPA, modèle de notification | 1 heure |
| Jour 5 | Workflow DSR + bannière cookie, créez un modèle de réponse pour les demandes d’accès/effacement ; installer un outil de consentement aux cookies conforme | 2-3 heures |
Total : environ 8 à 13 heures de travail pour une personne. La charge permanente est faible : examiner les enregistrements de consentement tous les trimestres, vérifier que les routines de suppression sont en cours et mettre à jour la liste DPA lorsque vous ajoutez de nouveaux fournisseurs.
Questions fréquemment posées
Combien de temps ai-je pour répondre à une demande d’accès au sujet ? Un mois civil à compter de la date de réception de la demande, sous Article 12 du RGPD. Vous pouvez prolonger de deux mois supplémentaires si la demande est complexe, mais vous devez informer le client de la prolongation dans le premier mois et lui expliquer pourquoi. Le chronomètre démarre lorsque vous recevez la demande, et non lorsque vous décidez d’y donner suite.
Le RGPD s’applique-t-il à notre hôtel si nous sommes situés en dehors de l’UE ? Oui, si vous traitez des données personnelles de résidents de l’UE. Le RGPD a une portée extraterritoriale en vertu de l’article 3. Si votre hôtel s’adresse aux voyageurs de l’UE, apparaît sur des OTA accessibles dans l’UE (Booking.com, Expedia) ou accepte des réservations de résidents de l’UE, le RGPD s’applique. Les sanctions pour non-conformité peuvent atteindre 4 % du chiffre d’affaires mondial annuel ou 20 millions d’euros, selon le montant le plus élevé, selon Article 83 du RGPD relatif aux conditions générales d’imposition des amendes administratives.
À quelles amendes les petits hôtels sont-ils réellement confrontés ? Selon Rapport GDPR Enforcement Tracker de CMS Law sur l’hébergement et l’accueil, la plupart des amendes dans le secteur hôtelier se situent entre 5 000 et 50 000 € pour les petites propriétés. En 2024, un hôtel allemand a été condamné à une amende de 16 000 € pour avoir stocké des copies d’identité de clients sans base légale ; un hôtel croate a été condamné à une amende de 45 000 € pour consentement inapproprié aux cookies. Les grands groupes hôteliers (Marriott, British Airways) ont été confrontés à des amendes beaucoup plus lourdes, mais le modèle d’application des sanctions pour les petits établissements reflète la proportionnalité. La plupart des petits hôtels ne seront jamais condamnés à une amende. La raison pratique pour s’y conformer est que lorsqu’un client s’aggrave, vous voulez une réponse dans les 48 heures, et non une spirale de panique.
Sommes-nous des contrôleurs conjoints avec des OTA comme Booking.com ? C’est compliqué. Le Comité européen de la protection des données a publié des lignes directrices indiquant que les hôtels et les OTA peuvent être co-responsables du traitement de certaines activités de traitement (en particulier lorsque les données sont partagées dans le but de gérer une réservation). En pratique, Booking.com dispose de ses propres conditions DPA/traitement des données pour les hôtels. Examinez-les attentivement : vous partagez la responsabilité des données collectées via la plateforme OTA, mais Booking.com gère généralement ses propres obligations de traitement séparément.
Le RGPD couvre-t-il également les données des employés ? Oui. Les données personnelles des salariés sont soumises au RGPD au même titre que les données des clients. Les contrats de travail, les fiches de paie, les évaluations de performances, les dossiers de congés de maladie, les images de vidéosurveillance des zones réservées au personnel, les comptes de messagerie du personnel sont tous des données personnelles soumises aux mêmes principes. En pratique, le droit du travail de chaque pays de l’UE ajoute des exigences supplémentaires (implication des comités d’entreprise dans certains pays, délais de conservation spécifiques des dossiers du personnel). Si vous avez du personnel basé dans l’UE, incluez les données des employés dans votre RoPA.
Que se passe-t-il si un voyageur fait une demande d’effacement de données que je suis légalement tenu de conserver ? Vous pouvez refuser l’effacement pour cette catégorie de données spécifique, en invoquant l’obligation légale. Vous devez informer le client par écrit de la base juridique spécifique de la rétention et de l’autorité qui l’exige. Effacez tout ce que vous n’êtes pas légalement tenu de conserver et ne conservez que ce que vous devez.
Foire aux questions
Le RGPD s’applique-t-il à un petit hôtel en dehors de l’UE ?
Oui si l'hôtel traite les données des résidents de l'UE, notamment en prenant des réservations, en envoyant des e-mails marketing ou en gérant un site Web sur lequel les voyageurs de l'UE peuvent réserver. La loi suit la personne concernée et non la localisation de l'hôtel. Une boutique de 30 chambres aux États-Unis ou en Asie accueillant des invités de l'UE doit se conformer à ces registres, même si la législation locale est moins stricte. La conformité pratique est la même liste de contrôle, quel que soit l'endroit où la propriété est enregistrée.
Quelles données sur les clients un petit hôtel doit-il réellement cartographier en vertu de l'article 30 du RGPD ?
Cartographiez tous les systèmes qui contiennent des données personnelles des clients : PMS (Cloudbeds, Mews, RoomRaccoon, Apaleo, etc.), gestionnaire de canaux, moteur de réservation, outil de messagerie des clients, plateforme de collecte d'avis, processeur de paiement, outil de marketing par e-mail, vidéosurveillance avec enregistrements stockés, système de verrouillage de porte avec journaux d'accès et toutes les feuilles de calcul tenues par le personnel. Pour chacun : quelles données sont conservées, pourquoi, base légale (contrat, consentement, intérêt légitime), durée de conservation, qui y a accès et si les données sont transférées en dehors de l'UE. Les enregistrements de traitement visés à l'article 30 doivent être mis à la disposition d'une autorité de protection des données sur demande, généralement dans un délai de 30 jours.
Qu'est-ce qu'un accord de traitement de données (DPA) et quels fournisseurs d'hôtels en ont besoin ?
Un DPA est un contrat juridiquement contraignant entre l'hôtel (contrôleur de données) et tout fournisseur qui traite les données des clients pour le compte de l'hôtel (processeur de données). Les fournisseurs requis incluent PMS, gestionnaire de canaux, moteur de réservation, processeur de paiement, plate-forme de messagerie invité, collecteur d'avis, outil de marketing par e-mail et tout fournisseur de stockage cloud détenant des données client. La plupart des principaux fournisseurs hôteliers SaaS publient un DPA standard sur leur site Web, prêt à être contresigné. Opérer sans DPA en place constitue une violation directe du RGPD, indépendante de toute violation.
Combien de temps un hôtel doit-il conserver les données de ses clients en vertu du RGPD ?
Définissez la conservation sur une base légale. Enregistrements de réservation et de séjour : généralement 6 à 7 ans pour satisfaire à la législation fiscale et comptable (cela annule la minimisation du RGPD). Listes de diffusion marketing : uniquement tant que le consentement du client est actif et qu'il ne s'est pas désabonné. Enregistrements de vidéosurveillance : généralement 30 jours, sauf si un incident prolonge la conservation. Données du programme de fidélité : tant que le client est actif dans le programme plus une fenêtre inactive définie. Documentez la période de conservation pour chaque catégorie dans la carte des données et automatisez la suppression si possible.
Qu'exige le RGPD pour le consentement aux cookies des hôtels en 2026 ?
Une bannière de cookies qui charge les cookies non essentiels (analyses, pixels marketing, balises de reciblage) uniquement après que l'invité a donné son consentement explicite et granulaire. Les cases de consentement pré-cochées ne sont pas valides. Le bouton « Tout rejeter » doit être au moins aussi visible que « Tout accepter ». L'application continue des directives de l'EDPB pour 2024-2026 cible spécifiquement les bannières de cookies à motif sombre avec des options de rejet plus difficiles à trouver. Cookiebot, Usercentrics, OneTrust et CookieYes génèrent tous des bannières conformes ; la vérification avec les pages de test CNIL ou ICO détecte les erreurs de configuration.
Qu'est-ce que la règle de notification de violation dans les 72 heures et qu'est-ce qui constitue une violation ?
En vertu de l'article 33 du RGPD, l'hôtel, en tant que responsable du traitement, doit informer l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles, à moins qu'il soit peu probable que la violation entraîne un risque pour les personnes concernées. Exemples qui déclenchent la règle : un ordinateur portable de réception volé avec les données des clients, une infection par ransomware sur le PMS, un e-mail envoyé accidentellement à tous les clients avec des adresses e-mail visibles en CC au lieu de BCC, une violation du fournisseur affectant les données des clients de l'hôtel. Disposez d'un plan écrit de réponse aux violations qui nomme la personne responsable et la page de notification de l'autorité de contrôle. La plupart des amendes résultent d’une notification tardive ou absente plutôt que de la violation elle-même.
Lecture connexe
Opérations
Logiciel de gestion de l'entretien ménager d'un hôtel : un guide 2026
Logiciel de gestion de l'entretien ménager d'hôtel en 2026 : tableaux d'état des chambres en temps réel, mises à jour mobiles, synchronisation PMS, avec…
28 juin 2026
Technologie hôtelière
Intégrations PMS hôtelières 2026 : 9 connexions (SiteMinder, Stripe, Akia)
9 intégrations PMS incontournables pour 20 à 80 salles : SiteMinder, Stripe, Akia, Guestivo, Profitroom. Tarification réelle, modèles de construction sur 2…
23 avril 2026
Technologie hôtelière
Logiciel de comptabilité hôtelière qui s'intègre au PMS
Découvrez quel logiciel de comptabilité hôtelière s'intègre à un PMS, en quoi les flux de travail QuickBooks/Xero/Sage diffèrent et comment éviter les…
19 avril 2026
Sujets