0 806 700 701  
service et appel gratuits
Du lundi au jeudi de 08h45 - 20h00
et le vendredi 08h45 - 19h00

Espace client

Panier
0

Espace client

Panier
0

RGPD en restaurant/hôtel : obligations et checklist CHR

Article publié le : 16/04/2026

Réservation en ligne, cahier de réservation, programme de fidélité, Wi‑Fi invité, caméras à l’entrée… Dans un restaurant ou un hôtel, on collecte des données personnelles clients CHR toute la journée, souvent « sans y penser ». Pourtant, en 2026, le RGPD restaurant et le RGPD hôtel restent des sujets très concrets : informer correctement, tenir un minimum de traçabilité et sécuriser vos outils.

La bonne nouvelle : vous n’avez pas besoin d’un service juridique pour démarrer. Avec une méthode simple, vous pouvez clarifier votre situation et mettre en place l’essentiel en 1 heure, puis compléter progressivement. Ce guide vous donne les repères terrain (registre, mentions clients, sous-traitants, Wi‑Fi, vidéosurveillance) + une checklist d’action sur 7 jours.

RGPD ≠ paperasse. Dans le CHR, c’est surtout : informer (clients et salariés), tracer (registre, durées, prestataires) et sécuriser (accès, mots de passe, procédures).

Si vous êtes en phase d’ouverture ou de reprise, pensez à intégrer le RGPD dans votre check-list globale, au même titre que les autres obligations. Nous détaillons cette logique dans nos repères sur les formations obligatoires et obligations pour ouvrir un établissement CHR (à compléter par vos démarches administratives).

RGPD restaurant / hôtel : quelles données personnelles traitez-vous vraiment ?

Le point de départ d’une mise en conformité RGPD restaurant est simple : l’inventaire. Voici les situations les plus courantes dans les cafés, hôtels et restaurants.

Source Données Finalité Durée conseillée (repères) Bon réflexe RGPD
Réservation (tél./site/OTA) Nom, tel, email, date/heure, préférences, no‑show Gérer la réservation, organiser le service Jusqu’à la fin du service + courte période de gestion (litige/no‑show) Ne collecter que l’utile ; séparer “réservation” et “marketing”
Fidélité / newsletter Email/téléphone, date de naissance, historique de consommation Offres, fidélisation En pratique : durée limitée, souvent 3 ans après le dernier contact Consentement/opt‑out + preuve + désinscription
Wi‑Fi invité Identifiants, adresse IP, logs de connexion (traçabilité) Accès internet, sécurité, conformité Logs 1 an (obligations de conservation des données de connexion) Portail captif + information claire + réseau isolé
Avis / satisfaction Email + commentaires (parfois sensibles) Améliorer le service Limiter (quelques mois à 1–2 ans) puis anonymiser Informer dès la collecte ; anonymiser pour les statistiques
Vidéosurveillance Images (personnes identifiables) Sécurité des biens et des personnes Repère : 30 jours (souvent “max” en pratique) Panneau d’information + accès très limité
Paiement CB Données de transaction (chez le prestataire) Payer / facturer Conserver vos justificatifs comptables, pas les numéros de carte Ne jamais stocker de numéro de carte ; s’appuyer sur prestataires

Exemple restaurant : une brasserie collecte les téléphones pour confirmer les réservations, garde un fichier Excel “clients fidèles”, propose un Wi‑Fi invité et a 3 caméras (entrée, salle, caisse). En RGPD, chaque bloc = un traitement à documenter, une information à fournir, une durée à fixer.

Exemple hôtel : un hôtel indépendant utilise un PMS hôtel RGPD, reçoit des réservations via une plateforme de réservation RGPD (OTA) + son site, envoie un email post‑séjour et a des caméras dans le hall/parking. Ici, la clé est la gestion des prestataires (sous-traitants) + la sécurité des accès au PMS.

Les 5 obligations RGPD concrètes (checklist exploitant CHR)

A) Tenir un registre des traitements (modèle CNIL)

Le registre des traitements CNIL est votre “tableau de bord” : il explique qui traite quoi, pourquoi, sur quelle base, combien de temps et avec quelles mesures de sécurité. La CNIL met à disposition un modèle gratuit (souvent sous forme de tableau à compléter). Pour un CHR, un registre simplifié suffit généralement pour démarrer : réservations, fidélité, Wi‑Fi, vidéosurveillance, avis/satisfaction, facturation, RH.

Objectif : être capable de répondre simplement à la question “quelles données détenez-vous et à quoi servent-elles ?” en cas de demande client ou de CNIL contrôle restauration.

B) Informer clairement vos clients (site + sur place)

Votre meilleure protection, c’est la transparence. Une politique de confidentialité restaurant (ou hôtel) doit exister :

  • Sur votre site (formulaire de contact, réservation en ligne, achat bon cadeau…).
  • Dans l’établissement (affichage discret au comptoir/réception ou QR code renvoyant vers la politique).
  • Sur les supports de collecte (fiche fidélité papier, formulaire événement, etc.).

À inclure au minimum : identité du responsable, finalités, base légale, durées, destinataires (prestataires), droits des personnes et un contact (email dédié si possible).

C) Gérer consentement & prospection (email / SMS)

Point sensible en CHR : on confond vite “réservation” et “marketing”. Or, ce ne sont pas les mêmes règles.

Bon à savoir : une réservation en ligne données personnelles relève en général de l’exécution du contrat (vous avez besoin du nom/téléphone pour assurer le service). En revanche, pour du consentement marketing email SMS, vous devez prévoir une base légale adaptée (souvent le consentement) et une désinscription simple.

Bonnes pratiques opérationnelles :

  • Case à cocher non précochée pour s’abonner (newsletter / SMS).
  • Preuve du consentement (date, source, texte de la case).
  • Lien de désinscription dans chaque email + “STOP” simple pour les SMS.

D) Mettre une procédure “droits des personnes”

Le droit d’accès données client est le plus fréquent : “quelles infos avez-vous sur moi ?”. Ajoutez-y la rectification, l’effacement (quand applicable), l’opposition à la prospection, etc.

Concrètement, prévoyez :

  • Une adresse de contact (ex. donnees@…, ou un formulaire).
  • Qui répond (gérant, direction, responsable hébergement).
  • Un modèle de réponse et une check-list (vérifier l’identité, extraire les données du PMS/caisse/outil emailing, répondre sous 1 mois).

E) Sécuriser vos données (caisse, PMS, fichiers)

La sécurisation données clients n’est pas réservée aux grands groupes : dans le CHR, les incidents viennent souvent d’un accès trop large, d’un mot de passe partagé ou d’un ordinateur non verrouillé.

  • Comptes nominatifs (éviter “reception123” partagé).
  • Mots de passe robustes + MFA quand disponible (messagerie, PMS, plateforme de réservation, back-office).
  • Habilitations : qui a accès à quoi (ex. marketing ≠ facturation ≠ vidéos).
  • Procédure “départ salarié” : couper les accès immédiatement.
  • Sauvegardes et mises à jour régulières.

Et côté outils : votre logiciel de caisse données personnelles (nom sur ticket, notes clients, historique) doit être paramétré avec des accès adaptés, et intégré dans votre registre.

Le réflexe durées de conservation : fixez une durée et tenez-la. Supprimez/anonimisez à échéance (ou archivez quand une obligation légale l’impose). C’est un point très regardé en contrôle.

Sous-traitants RGPD CHR : PMS, caisse, Wi‑Fi, vidéos, emailing…

En pratique, vous êtes responsable de traitement (vous décidez l’objectif), et vos prestataires sont souvent des sous-traitants (ils traitent pour votre compte). C’est le quotidien : PMS hôtel RGPD, outil de réservation, channel manager, OTA, emailing, prestataire Wi‑Fi, installateur/mainteneur vidéosurveillance, hébergeur, expert-comptable.

Dans votre registre, listez-les et gardez une preuve contractuelle : l’idéal est un DPA (Data Processing Agreement) ou des clauses RGPD incluant :

  • Finalités et durée du traitement
  • Mesures de sécurité
  • Notification en cas de violation de données
  • Recours à des sous-traitants ultérieurs
  • Aide pour répondre aux demandes de droits

Pour relier RGPD et outils métier, c’est aussi le moment de vérifier votre environnement “ouverture / exploitation” (choix du PMS, de la caisse, des prestataires). Cette logique s’inscrit dans vos démarches dès l’ouverture : notre pack Permis d’exploitation & formation hygiène alimentaire vous aide déjà à structurer une exploitation conforme sur les obligations clés (et la formation hygiène vise notamment les bonnes pratiques selon la méthode HACCP).

Wi‑Fi invité : obligations de logs 1 an et bonnes pratiques RGPD

Le Wi‑Fi invité obligations logs 1 an est un classique en CHR : vous offrez un service utile, mais il implique des données de connexion (traces techniques). Deux couches se superposent :

  • Cadre français : obligations de conservation de certaines données de connexion (en pratique, beaucoup de solutions pro paramètrent une conservation autour de 1 an).
  • RGPD : information, minimisation, sécurité, durée affichée, accès restreints.

Conseils très opérationnels :

  • Mettre le Wi‑Fi client sur un réseau isolé (séparé de la caisse/PMS).
  • Portail captif avec lien vers votre politique de confidentialité (et la mention de la durée de conservation des logs).
  • Désigner un seul interlocuteur interne (gérant / responsable informatique) + accès prestataire encadré.

Vidéosurveillance restaurant : réglementation et durée de conservation (30 jours)

La vidéosurveillance restaurant réglementation repose sur une idée simple : une caméra peut être légitime pour la sécurité, mais elle doit être proportionnée et transparente.

  • Affichage obligatoire : pictogramme caméra + informations essentielles (responsable, finalité, contact, droits).
  • Accès limité : très peu de personnes peuvent consulter les images.
  • Durée limitée : repère courant de durée conservation vidéosurveillance 30 jours (sauf extraction en cas d’incident, conservée le temps de la procédure).

Bon à savoir : une caméra = un traitement de données personnelles. Pour rester serein : informez, limitez les angles (pas de surveillance permanente des salariés), restreignez les accès et gardez une durée courte.

Pour des repères officiels sur les caméras, vous pouvez vous appuyer sur la page CNIL : les recommandations CNIL sur les caméras et dispositifs vidéo.

Cas particulier : si vos caméras filment la voie publique (même partiellement), des règles et démarches spécifiques peuvent s’appliquer (préfecture/autorisation selon les cas). Dans le doute, faites-vous accompagner.

Risques & sanctions : rester pragmatique (et non anxiogène)

Le but n’est pas de vous faire peur, mais de vous aider à prioriser. En contrôle, la CNIL regarde généralement votre logique : information, registre, durées, sécurité, contrats prestataires, gestion des demandes.

Le RGPD prévoit des plafonds de sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu) pour les manquements les plus graves. La CNIL détaille le cadre général sur sa page : sanctions possibles en cas de non-respect du RGPD.

Pour repositionner le RGPD dans l’ensemble des obligations d’exploitation (affichages, licences, sécurité, etc.), gardez une vue d’ensemble avec vos autres obligations : les obligations réglementaires abordées dans notre formation Permis d’exploitation vous aident à travailler “conformité” au sens large.

Erreurs fréquentes en CHR (faciles à éviter)

  • Fichier Excel “clients” sur un poste partagé, sans mot de passe
  • Base newsletter alimentée avec tous les emails de réservation (sans consentement)
  • Caméras sans panneau d’information
  • Conservation illimitée “au cas où” dans le PMS ou la caisse
  • Accès prestataire non encadré (pas de DPA/clauses RGPD)

Tableau : base légale probable selon vos usages CHR

Traitement CHR Base légale la plus probable À surveiller
Réservation / gestion du séjour Contrat (exécution / mesures précontractuelles) Ne pas réutiliser automatiquement pour du marketing
Facturation / comptabilité Obligation légale Bien distinguer “archives comptables” vs “fichier marketing”
Newsletter / SMS promo Consentement (souvent) / parfois intérêt légitime avec opt‑out Preuve, désinscription, fréquence raisonnable
Vidéosurveillance Intérêt légitime (sécurité) Affichage, durée courte, accès limité
Wi‑Fi invité (logs) Obligation légale + intérêt légitime (sécurité) Logs 1 an, information via portail captif
Enquêtes satisfaction Intérêt légitime Possibilité d’opposition, anonymisation

Plan d’action “7 jours” pour être au clair (et prêt en cas de contrôle)

  • J1 – Inventaire : réservation, fidélité, Wi‑Fi, caméras, avis, caisse, PMS, emailing, OTA.
  • J2registre des traitements CNIL + durées de conservation.
  • J3 – Mentions : politique de confidentialité (site) + QR code/affichage sur place.
  • J4 – Sous-traitants : collecter DPA/clauses RGPD (PMS, caisse, Wi‑Fi, vidéos, emailing, hébergeur).
  • J5 – Droits : boîte mail dédiée + modèle de réponse + procédure interne.
  • J6 – Sécurité : mots de passe, MFA, habilitations, sauvegardes, postes partagés.
  • J7 – Audit express : preuves (captures, contrats, panneau caméra, registre à jour).

Ressources à préparer (en interne) : un dossier “RGPD” avec votre registre, une trame de politique de confidentialité, une checklist vidéosurveillance, et la liste à jour des prestataires.

Glossaire express (pour parler RGPD sans jargon)

  • RGPD : règle européenne sur la protection des données personnelles.
  • CNIL : autorité française qui contrôle et sanctionne si besoin.
  • Données personnelles : info permettant d’identifier (directement ou indirectement) une personne (nom, email, image, IP…).
  • Responsable de traitement : vous, l’exploitant, qui décidez des finalités.
  • Sous-traitant RGPD CHR : prestataire qui traite pour votre compte (PMS, caisse, Wi‑Fi…).
  • Base légale : justification juridique (contrat, obligation légale, intérêt légitime, consentement).
  • Violation de données : fuite, piratage, accès non autorisé, perte d’un fichier, etc.

Mini‑FAQ RGPD CHR

Dois‑je nommer un DPO ?

La plupart des établissements CHR indépendants n’ont pas l’obligation de désigner un DPO. En revanche, vous pouvez vous faire accompagner (interne/externe) si vous avez plusieurs sites, des traitements complexes, ou si vous souhaitez structurer votre conformité.

Puis‑je garder les données clients indéfiniment ?

Non. Le RGPD impose une durée limitée. Distinguez bien la conservation pour obligations légales (ex. comptabilité) et la conservation pour prospection/fidélisation, qui doit rester limitée et justifiée.

Puis‑je envoyer des SMS promo ?

Oui, si vous respectez les règles de prospection : information claire, base légale adaptée (souvent consentement), et un moyen simple de se désinscrire (type STOP).

Que faire en cas de fuite de données ?

Coupez l’accès à l’origine de l’incident (mot de passe, poste, compte), documentez ce qui s’est passé et évaluez le risque. Si nécessaire, une notification à la CNIL peut être requise (délai de 72h dans certains cas). Faites-vous accompagner si l’incident concerne un volume important de données ou des données sensibles.

Avancer sereinement : votre prochaine étape

Le RGPD en CHR n’est pas une montagne : c’est une discipline de gestion (informer, limiter, sécuriser, prouver). Une fois votre registre et vos mentions en place, vous gagnez en clarté sur vos outils (PMS, réservation, caisse) et vous réduisez fortement les risques.

  • CTA : Télécharger la checklist RGPD CHR (registre + affichages + Wi‑Fi + caméras + sous-traitants).
  • CTA : Être rappelé / échanger avec un conseiller formation sur vos obligations administratives en CHR.

Et si vous êtes en phase d’ouverture, pensez à sécuriser le socle réglementaire dès le départ : nos formations réglementaires pour exploiter un établissement CHR en conformité (permis d’exploitation + formation hygiène alimentaire) vous permettent de démarrer sur de bonnes bases, avec une démarche opérationnelle adaptée au terrain.

Note : cet article fournit des repères pratiques généraux et ne constitue pas un conseil juridique individualisé. Selon votre situation (groupe, multi-sites, traitements spécifiques), un accompagnement spécialisé peut être nécessaire.

illustration Ouverture

OUVRIR SON ÉTABLISSEMENT EN CHR

FORMATIONS OBLIGATOIRES POUR OUVRIR UN ETABLISSEMENT EN CHR

Avant d'ouvrir un établissement dans le secteur des cafés, hôtels et restaurants (CHR), il est indispensable de suivre deux formations obligatoires.
  • Le permis d'exploitation est requis pour toute personne souhaitant vendre de l'alcool à consommer sur place, garantissant une connaissance des règlementations en vigueur.
  • La formation en hygiène alimentaire est obligatoire dès lors que vous manipulez ou servez des produits alimentaires, afin d'assurer le respect des normes sanitaires et de garantir la sécurité de vos clients
Découvrir le pack permis d'exploitation et hygiène alimentaire
DÉLAIS D'ACCES AUX FORMATIONS : Sous réserve de disponibilité, les inscriptions sont ouvertes jusqu'à 24h avant la formation.