Fidélicarte
FR EN
Devenir partenaire
rgpd conformité tourisme

RGPD dans le tourisme : checklist pour 2026

Les obligations RGPD essentielles pour un hôtel, une croisière ou un parc d'attraction qui collecte des données voyageurs. Checklist actionnable en 10 points.

Fidélicarte
Personne signant un document avec un stylo

Pourquoi le tourisme est particulièrement exposé

Le RGPD ne distingue pas les secteurs, mais le tourisme cumule des facteurs qui amplifient le risque réglementaire :

  • Volumes élevés de données par client (réservation, paiement, préférences, historique de séjour)
  • Sous-traitants nombreux (PMS, channel manager, OTA, gestion des avis, CRM, emailing)
  • Données sensibles indirectes (régimes alimentaires, mobilité réduite, composition familiale)
  • Acteurs internationaux (transferts hors UE fréquents avec les chaînes US)

La CNIL a sanctionné en 2024 trois grands groupes hôteliers européens pour un total de 8,3 M€. Le sujet n’est pas théorique.

Checklist 2026 — 10 points actionnables

1. Registre des traitements à jour

Article 30 RGPD. Obligatoire dès 250 salariés, ou en cas de traitement régulier de données sensibles (santé, mineurs, etc.). En pratique : tableau Excel ou outil dédié, mis à jour deux fois par an minimum.

2. Base légale documentée pour chaque traitement

Pour chaque collecte, identifiez : consentement, exécution contractuelle, obligation légale, intérêt légitime, etc. Un PMS qui collecte un email pour le check-in = exécution contractuelle. Un email marketing post-séjour = consentement explicite (opt-in case décochée).

3. Mentions d’information visibles

À l’arrivée, au check-in en ligne, sur les formulaires papier : qui collecte, quelles données, pourquoi, combien de temps, droits du client. Pas dans des CGV de 40 pages — visible et compréhensible.

4. Durées de conservation explicites

Pas de “indéfiniment”. Pour le tourisme typique :

  • Données de réservation : 3 ans après le séjour (prescription commerciale)
  • Données comptables : 10 ans (obligation fiscale)
  • Photos client : durée du contentement (consentement requis)
  • Données marketing : 3 ans après le dernier contact

5. Procédure d’exercice des droits

Adresse email dédiée (souvent dpo@…), réponse sous un mois maximum. Le client peut demander accès, rectification, effacement, portabilité, opposition. Pré-rédiger des templates de réponse pour ne pas paniquer le jour J.

6. Contrats sous-traitants (article 28)

Tous vos prestataires qui touchent à des données client doivent avoir un contrat conforme à l’article 28 RGPD (DPA). Vérifier en priorité : PMS, channel manager, CRM, prestataire emailing, prestataire wifi captif, système de check-in en ligne.

7. Transferts hors UE — clauses contractuelles types

Si vous utilisez des outils US (Mailchimp, HubSpot, Salesforce, Google Workspace), vérifiez que les Clauses Contractuelles Types (SCC) de la Commission européenne sont signées. Pour les chaînes hôtelières US : question particulièrement sensible depuis l’invalidation du Privacy Shield.

8. Notification de violation sous 72h

En cas de fuite (intrusion, perte de support, email envoyé à mauvais destinataire), notification CNIL dans les 72 heures et information des personnes concernées si risque élevé. Avoir un runbook d’incident prêt en amont.

9. Privacy by design sur les nouveaux outils

Avant d’adopter un nouvel outil (système de fidélité, app, kiosque, etc.), intégrer la conformité RGPD dès la sélection. Minimisation des données, chiffrement, contrôle d’accès, durées de rétention configurables.

10. Formation des équipes

Personnel de réception, équipes commerciales, agents commerciaux : tous manipulent des données client. Une formation annuelle de 1h suffit à éviter les incidents les plus courants (envoi à mauvais destinataire, communication de données par téléphone à un proche non autorisé, etc.).

Et nous, comment on s’y prend chez Fidélicarte ?

Notre service implique de collecter des adresses postales — données personnelles au sens RGPD. On a pris quatre décisions structurelles :

  • Hébergement européen : Supabase région Paris (eu-west-3). Aucun transfert de données hors UE.
  • Anonymisation post-envoi : les adresses sont supprimées chez notre imprimeur 15 jours après l’envoi. Seul un identifiant interne reste pour le suivi et les éventuels retours (NPAI).
  • Pas de revente, pas d’usage marketing : les adresses des destinataires ne servent qu’à imprimer une carte. Elles ne sont pas réinjectées dans une base prospects.
  • Droits exercés en un clic : nos partenaires B2B disposent d’un endpoint pour anonymiser un envoi ou supprimer une adresse à la demande d’un client.

Plus d’informations sur notre politique de confidentialité.

Cet article est rédigé à titre informatif et ne constitue pas un avis juridique. Pour les cas complexes, consultez un juriste spécialisé ou contactez la CNIL (www.cnil.fr).