Prostay
Réserver une démonstration
Hotel Technology & Innovation

Conservation des données des clients et droit à l'effacement : le RGPD pour les hôtels en 2026

La plupart des hôtels collectent les données de leurs clients sans jamais les supprimer : des scans de passeports datant de 2019, des informations bancaires consignées dans des tableurs, des listes de prospection pour lesquelles personne n’a donné son consentement. Le RGPD considère tout cela comme un risque, car le principe de limitation de la conservation stipule que vous ne pouvez conserver les données que pendant la durée nécessaire, et le droit à l’effacement permet aux clients de vous demander de supprimer leurs données. Voici ce qu’exige le RGPD en matière de conservation des données, un calendrier détaillé pour chaque type de données, les cas où vous pouvez refuser, ainsi qu’un plan de nettoyage sur 30 jours.

Mika Takahashi
Mika TakahashiÉquipe éditoriale

Publié 21 juin 2026

24 min de lecture

A cel-shaded editorial side-angle desk scene at eye level: an open laptop displays a guest data retention schedule table with data categories and countdown timers, with one row highlighted and a red 'Erase guest data' confirmation dialog open over a guest profile, while beside the laptop sit a small wall calendar with dates circled, a slim paper shredder with a strip of shredded paper, and a printed sheet titled retention policy with several lines ticked, illustrating that a hotel must delete guest personal data once its lawful retention period ends, all rendered in the warm cream, taupe, sage, terracotta and deep navy palette.

Pourquoi les hôtels sont-ils des « accumulateurs de données » par inadvertance ?

Entrez dans les coulisses de n’importe quel hôtel indépendant et posez une question : quelles données personnelles conservez-vous sur vos clients, et quand chacune d’entre elles est-elle supprimée ? La première partie de la question suscite généralement une réponse assurée. La seconde partie provoque un regard perdu. Les hôtels sont extrêmement doués pour collecter les données de leurs clients et presque systématiquement nuls pour s’en débarrasser. On y trouve des scans de passeports datant de 2019 stockés sur un disque partagé, un tableau Excel contenant les détails de cartes bancaires créé par quelqu’un pour un groupe de touristes en autocar il y a trois étés, une liste marketing comportant dix mille adresses dont personne ne peut prouver que les personnes concernées aient donné leur consentement, et un système de réservation conservant l’historique complet des séjours de chaque client ayant jamais franchi la porte de l’établissement. Aucune de ces données n’a été conservée par malveillance. Elles se sont accumulées parce que la suppression des données nécessite une décision délibérée, alors que leur conservation n’en requiert aucune.

Au regard du Règlement général sur la protection des données (RGPD), cette accumulation n’est pas neutre. Elle constitue un risque croissant. Le principe de limitation de la conservation des données du RGPD stipule que vous ne pouvez conserver des données à caractère personnel que pendant la durée strictement nécessaire, et le droit à l’effacement donne à chaque client la possibilité de vous demander de supprimer les données que vous détenez. Les données stockées dans votre système de gestion immobilière, votre CRM, votre outil de messagerie électronique et ces feuilles de calcul oubliées ne constituent pas un actif qui prend discrètement de la valeur ; elles représentent un risque qui ne cesse de s’aggraver. Chaque enregistrement supplémentaire et chaque année supplémentaire représentent davantage d’informations à perdre en cas de violation, davantage d’éléments susceptibles d’apparaître lors d’une demande d’accès, et davantage de questions que l’autorité de contrôle pourra vous poser. Cet article s’adresse à l’exploitant, et non à l’avocat : ce qu’exige réellement le RGPD en matière de conservation, comment établir un calendrier précisant chaque type de données et son délai de suppression, quand vous pouvez refuser une demande d’effacement, ainsi qu’un plan en 30 jours pour faire le tri dans cette accumulation de données.

Une petite mise au point avant d’entrer dans les détails. J’écris pour Prostay, et notre équipe développe des logiciels de gestion immobilière et de paiement pour les hôtels ; par conséquent, une brève section vers la fin constitue une mention d’information plutôt qu’un conseil. Tout le reste de cet article est indépendant de tout fournisseur et s’applique quels que soient les systèmes que vous utilisez. Et une mise en garde importante : il s’agit de conseils opérationnels, et non de conseils juridiques. Le RGPD est interprété par les autorités nationales de régulation selon leurs propres lignes directrices, les délais de conservation sont fixés par le droit fiscal et commercial de votre pays, et un cas véritablement complexe mérite l’intervention d’un avocat spécialisé en protection des données. L’objectif ici est de vous faire passer d’une attitude du type « on conserve tout indéfiniment » à une position défendable, écrite et appliquée, qui couvre la grande majorité des données effectivement détenues par un hôtel.

Ce qu’exige réellement le RGPD en matière de conservation

Ce qui est frustrant pour les exploitants qui souhaitent une règle unique, c’est que le RGPD refuse délibérément d’en fournir une. Il ne dit pas « conservez les données des clients pendant X années ». Au lieu de cela, il établit des principes et laisse les détails découler de ceux-ci. Deux principes régissent la quasi-totalité de la conservation des données, et une fois que vous les comprenez, ce qui semblait vague se transforme en quelque chose que vous pouvez réellement mettre en œuvre.

Le principe de limitation de la durée de conservation

La limitation de la conservation est le principe du RGPD selon lequel les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En termes simples : vous ne pouvez conserver des données que tant que vous en avez réellement besoin pour la raison pour laquelle vous les avez collectées. Une fois cette raison disparue et en l’absence de toute autre base légale applicable, vous devez les supprimer ou les anonymiser afin qu’elles ne puissent plus être associées à une personne. Ce principe est la réponse directe à la conservation « au cas où ». Conserver indéfiniment les données d’un client sous prétexte qu’elles pourraient s’avérer utiles un jour est précisément ce qu’interdit la limitation de la durée de conservation, car « pourrait s’avérer utile » ne constitue pas une finalité définie assortie d’une date de fin.

C’est pourquoi l’unité de réflexion appropriée n’est pas l’hôtel dans son ensemble, mais chaque finalité. Les données que vous avez collectées pour traiter une réservation ont une finalité qui prend fin à un moment défini après le séjour. Les données que vous conservez à des fins fiscales ont une finalité qui prend fin à l’expiration du délai de conservation légal. Les données que vous conservez à des fins de marketing ont une finalité qui ne dure que tant que le consentement est valable. Chaque finalité a son propre délai, et la limitation de la durée de conservation stipule que vous devez cesser de les conserver lorsque ce délai est écoulé.

La base légale détermine la durée de conservation

Le concept associé est celui de la base légale : la raison juridique qui vous autorise à traiter une donnée donnée en premier lieu. La base sur laquelle vous vous appuyez détermine en grande partie la durée pendant laquelle vous pouvez conserver les données, car la conservation est liée à la finalité que cette base justifie. Trois fondements juridiques couvrent la plupart des données hôtelières. Le contrat couvre ce dont vous avez besoin pour assurer le séjour que le client a réservé. L’obligation légale couvre ce qu’une loi distincte vous oblige à conserver, les registres fiscaux et comptables en étant l’exemple le plus évident. Le consentement couvre les éléments auxquels le client a activement adhéré, le marketing étant le principal d’entre eux, et il ne dure que jusqu’à ce qu’il le retire.

En pratique, cela signifie que la réponse à la question « combien de temps conservons-nous les données des clients ? » varie selon les données, et c’est la base juridique qui vous indique laquelle s’applique. Les dossiers de réservation et de facturation relèvent en grande partie de l’obligation légale ; leur durée de conservation est donc fixée par votre législation fiscale nationale, souvent entre six et dix ans. Les données marketing relèvent du consentement ; leur durée de conservation prend donc fin lorsque le client se désabonne ou que votre politique d’inactivité entre en vigueur. Une note opérationnelle rédigée par un responsable au sujet d’un client difficile relève, au mieux, de l’intérêt légitime ; elle doit donc être conservée pour une durée limitée. Déterminez correctement le fondement juridique pour chaque catégorie et la durée de conservation s’imposera d’elle-même.

Élaborer un calendrier de conservation des données des clients

La mesure la plus utile qu’un hôtel puisse prendre pour se conformer au RGPD est aussi la moins glamour : rédiger un calendrier de conservation. Un calendrier de conservation est un simple tableau qui répertorie chaque catégorie de données à caractère personnel que vous détenez, la base légale justifiant leur conservation, la finalité, la durée après laquelle vous les supprimez et leur emplacement de stockage. Il ne s’agit pas d’un traité juridique ; un bon calendrier tient sur deux pages. Son intérêt réside dans le fait qu’il transforme une obligation vague en un ensemble de règles concrètes et applicables, et c’est le premier document qu’une autorité de contrôle vous demandera si jamais elle vient frapper à votre porte.

A guest data retention schedule shown as a clean table with five columns labelled data category, lawful basis, purpose, retention period, and where it lives, with rows for booking data kept a short window after checkout under contract, invoices kept six to ten years under legal obligation, payment card data marked none because it is tokenized, marketing data kept while consent stands, ID scans deleted after the registration period, and CCTV kept days to weeks, with a small clock and a delete icon at the end of each row.
Un calendrier de conservation transforme une obligation vague en une règle concrète pour chaque type de données. C’est le document que l’autorité de contrôle demandera en premier.

C’est justement le fait de le rédiger qui permet de mettre au jour les problèmes. Vous ne pouvez pas indiquer « où elles sont stockées » sans découvrir la feuille de calcul sur le disque partagé et l’export que quelqu’un s’est envoyé par e-mail. Vous ne pouvez pas remplir la rubrique « durée de conservation » sans décider, une bonne fois pour toutes, combien de temps vous conservez réellement les coordonnées d’un prospect qui n’a pas ouvert un e-mail depuis trois ans. Le calendrier impose les décisions que l’attitude « on s’en occupera plus tard » a repoussées, et une fois rédigé, il devient la règle que toute l’équipe et vos systèmes doivent suivre.

Conservation par catégorie de données

Voici comment se répartissent généralement les principales catégories pour un hôtel. Considérez ces informations comme un cadre de départ raisonnable, et non comme une vérité absolue, car votre législation nationale et votre situation spécifique peuvent faire varier ces chiffres.

  • Données de réservation (nom, coordonnées, dates de séjour, préférences) : nécessaires pendant et peu après le séjour, conformément au contrat. Une approche courante consiste à conserver les données de réservation actives pendant une période définie après le départ, afin de gérer les litiges, les remboursements et le suivi, puis à les supprimer ou à les archiver ; tout élément ayant fait l’objet d’une facture est alors transféré vers la période de conservation des documents comptables indiquée ci-dessous.
  • Archives financières et comptables (factures, confirmations de paiement, relevés de compte) : régies par des obligations légales, leur durée de conservation est donc fixée par le droit fiscal et commercial, généralement de six à dix ans (dix ans en Allemagne et en France, environ six à sept ans ailleurs). Vous ne pouvez généralement pas les supprimer avant terme, même sur demande.
  • Données de cartes de paiement : l’objectif est d’en conserver le moins possible et pendant la durée la plus courte possible, idéalement aucune, car la tokenisation effectuée par votre prestataire de paiement supprime entièrement le numéro de carte de vos systèmes. Plus d’informations à ce sujet ci-dessous.
  • Données marketing (adresses e-mail, préférences, enregistrements de consentement) : conservées sur la base du consentement, elles ne sont donc conservées que tant que ce consentement est valable. Définissez une règle d’inactivité, par exemple en supprimant ou en demandant une nouvelle autorisation aux contacts qui n’ont pas interagi depuis 24 à 36 mois, et respectez immédiatement les demandes de désabonnement.
  • Documents d’identité (scans de passeport ou de carte d’identité, lorsque la loi exige un enregistrement) : il s’agit d’un sujet sensible abordé ci-dessous ; ne les conservez que pendant la durée requise par la loi spécifique relative à l’enregistrement des clients, puis supprimez-les, plutôt que de stocker indéfiniment ces scans.
  • Vidéosurveillance et journaux d’accès : durée de conservation courte par défaut, souvent de quelques jours à quelques semaines, sauf si un incident spécifique justifie une conservation prolongée.
  • Notes opérationnelles et commentaires en texte libre : la catégorie la plus risquée et la moins réglementée ; veillez à ce qu’elles soient concises, factuelles et éphémères, et n’enregistrez jamais quoi que ce soit que vous ne souhaiteriez pas que le client lise.

Le droit à l’effacement et ses limites

Le droit à l’effacement, souvent appelé « droit à l’oubli », permet à une personne de vous demander de supprimer les données à caractère personnel que vous détenez à son sujet. Pour les hôtels, cette demande se présente le plus souvent sous la forme d’un e-mail : un ancien client, ou une personne qui s’est un jour inscrite à votre liste de diffusion, vous demande de supprimer ses données. L’instinct est de considérer cela comme une situation binaire : soit tout supprimer, soit refuser, mais ces deux réflexes sont erronés. La réponse appropriée est plus nuancée, et bien la formuler vous protège dans les deux cas.

A decision flow diagram for handling a guest erasure request: it starts with request received, then verify identity, then locate the data across PMS, CRM, email, and spreadsheets, then a branch asking is there a legal obligation to keep this; data with no remaining lawful basis flows to a delete now box, data covered by a tax or registration law flows to a retain until its legal clock expires box, and both paths converge on respond to the guest within one month explaining what was erased and what was kept and why.
Une demande d’effacement ne se résume pas à un simple clic sur un bouton « Supprimer ». Vous supprimez ce que vous pouvez, ne conservez que ce que la loi vous oblige à conserver, et vous expliquez les deux.

Ce droit s’applique le plus clairement lorsque vous ne disposez plus d’une base légale pour conserver les données. Si une personne retire son consentement à recevoir des communications marketing, la base justifiant la conservation de son profil marketing disparaît et vous devez le supprimer. Si la finalité pour laquelle vous avez collecté les données a pris fin et que rien d’autre ne justifie leur conservation, il en va de même. Mais ce droit n’est pas un bouton de suppression universel. Lorsqu’une autre base légale s’applique encore, en particulier une obligation légale de conserver certains documents, vous pouvez – et devez parfois – conserver ces données spécifiques, et le droit à l’effacement ne prévaut pas sur cette obligation. Tout l’art consiste à distinguer les données que vous devez désormais supprimer de l’ensemble restreint que vous êtes légalement tenu de conserver.

Ce que vous ne pouvez pas faire, c’est ignorer la demande ou la laisser en suspens. Le RGPD vous accorde un délai d’un mois pour répondre, et cette réponse doit indiquer à la personne concernée ce que vous avez fait : ce que vous avez effacé, ce que vous avez conservé, ainsi que le fondement juridique de toute conservation. Répondre « Nous avons supprimé vos données » alors que vous avez en réalité conservé les factures à des fins fiscales est à la fois faux et inutile ; « Nous vous avons retiré de toutes nos listes de marketing et supprimé votre profil client, et nous sommes tenus de conserver vos factures de réservation pendant plusieurs années en vertu de la législation fiscale, après quoi elles seront également supprimées » est la réponse honnête et conforme. Consignez la demande et votre réponse, quelle qu’elle soit.

Quand pouvez-vous refuser : conservations légales et exceptions

Le droit à l’effacement n’étant pas absolu, vous devez connaître les situations dans lesquelles la conservation des données est légitime, afin de ne pas supprimer ni conserver des données de manière excessive. Plusieurs exceptions revêtent une importance particulière pour les hôtels.

La plus importante est l’obligation légale. La législation fiscale et comptable de chaque pays de l’UE vous oblige à conserver les documents comptables, y compris les factures liées au séjour d’un client, pendant un nombre d’années défini. Cette obligation prévaut sur une demande d’effacement concernant ces données spécifiques. Un client peut vous demander de l’oublier, et vous devez oublier tout ce que vous êtes libre d’oublier, mais la facture doit être conservée jusqu’à l’expiration du délai légal. La même logique s’applique à tout document qu’une loi spécifique vous oblige à conserver, comme les données d’enregistrement des clients lorsque la législation locale l’impose pendant une période déterminée.

Une deuxième exception concerne la constatation, l’exercice ou la défense de droits en justice. Si vous êtes en litige avec un client, ou si vous anticipez raisonnablement un tel litige, qu’il s’agisse d’un rejet de paiement, d’une plainte pour préjudice corporel ou d’une facture impayée, vous pouvez conserver les données pertinentes pour ce litige jusqu’à ce qu’il soit résolu, car vous en avez besoin pour vous défendre. Il ne s’agit pas d’une autorisation de tout conserver indéfiniment en imaginant des litiges hypothétiques ; il s’agit d’une exception étroite, limitée aux litiges réels. La règle consiste à appliquer une conservation légale spécifique aux documents concernés et à y mettre fin, en les supprimant, une fois l’affaire classée.

Le fil conducteur qui relie ces éléments est la spécificité. Une exception vous permet de conserver les données particulières qu’elle couvre, tant que l’exception est en vigueur, et pas plus. Ce n’est pas une raison pour conserver indéfiniment l’intégralité du profil du client. Lorsque vous invoquez une exception en réponse à une demande d’effacement, ne conservez que les données qu’elle justifie, supprimez le reste et indiquez pourquoi.

Passeports, pièces d’identité et données de catégorie spéciale

Les documents d’identité méritent une section à part entière, car les hôtels les manipulent constamment et en font souvent un mauvais usage. Dans de nombreux pays, la loi oblige les hôtels à enregistrer leurs clients et parfois à vérifier leur identité, ce qui constitue une raison légitime de demander un passeport ou une carte d’identité lors de l’enregistrement. Cela ne justifie toutefois pas, en soi, de le numériser et de conserver l’image indéfiniment. Ces deux aspects sont régulièrement confondus : un établissement tenu d’enregistrer certaines informations d’enregistrement commence à photographier chaque passeport et à stocker les images indéfiniment par mesure de sécurité, ce qui crée une base de données volumineuse, sensible et attractive pour les pirates, que la loi n’a jamais exigée.

L’approche rigoureuse consiste à distinguer ce que la loi vous oblige à enregistrer de ce que vous choisissez de conserver. Enregistrez les champs spécifiques exigés par la législation relative à l’enregistrement des clients en vigueur dans votre juridiction, conservez-les uniquement pendant la durée prévue par la loi, puis supprimez-les. Si vous numérisez ou photographiez une pièce d’identité, traitez cette image comme une donnée à haut risque : limitez l’accès à cette image, stockez-la sous forme cryptée et supprimez-la dès que l’objectif de l’enregistrement est atteint, plutôt que de laisser les numérisations s’accumuler dans un dossier. En ce qui concerne plus précisément les modalités de l’enregistrement des clients et les obligations de déclaration à la police, nous abordons ces points en détail dans notre guide sur l’enregistrement des clients et les déclarations à la police ; ici, la question de la conservation est plus ciblée : collectez le minimum requis par la loi, conservez ces données pendant la durée minimale autorisée par la loi, puis supprimez-les dans les délais prévus.

Faites également attention aux données relevant de catégories particulières, c’est-à-dire les types de données sensibles que le RGPD protège de manière plus stricte, telles que les informations relatives à la santé. Un client mentionnant une allergie grave ou un besoin d’accessibilité peut faire apparaître des données liées à la santé dans vos notes. Vous pourriez en avoir besoin pour bien servir ce client, mais cela nécessite une attention particulière : ne conservez ces données que pendant la durée de son séjour, limitez l’accès et ne les laissez pas traîner dans des champs de texte libre bien après qu’elles aient perdu leur pertinence.

Données de paiement : le problème de conservation le plus facile à résoudre

Parmi tous les casse-tête liés à la conservation des données, celui des données de cartes de paiement est celui pour lequel la solution est la plus simple, et de nombreux hôtels ne l’ont pas encore adoptée. Autrefois, l’instinct était de stocker les numéros de carte : les saisir sur un formulaire de réservation, les conserver dans les dossiers pour les frais de non-présentation ou les frais accessoires, les noter sur un reçu. Chaque numéro de carte que vous stockez représente un risque en matière de conservation des données, une obligation PCI et une faille de sécurité en puissance. La solution moderne consiste à ne pas les stocker du tout.

La tokenisation, proposée par toute plateforme de paiement compétente, remplace le numéro de carte par un jeton dénué de sens, inutile pour un voleur, et qui est conservé chez le prestataire de paiement, et non dans vos systèmes. Vous pouvez toujours facturer les frais de non-présentation, enregistrer les frais accessoires et traiter l’acompte, car le jeton autorise le prélèvement via le prestataire, mais les données réelles de la carte ne se trouvent jamais dans votre PMS, votre tableur ou votre classeur. Ce simple choix architectural élimine toute une catégorie de risques liés à la conservation des données : il n’y a aucune information sensible à conserver, donc rien à supprimer, rien à compromettre, et bien moins à justifier auprès d’un auditeur. L’utilisation d’une couche de paiement intégrée telle que Prostay Pay, qui effectue la tokenisation par défaut, signifie que les données de carte sont minimisées de par leur conception plutôt que gérées par une politique, ce qui constitue toujours la position la plus sûre.

Si vous conservez encore des numéros de carte de quelque part que ce soit, sur papier, dans un tableur, dans un e-mail ou dans un ancien système de réservation, , c’est la priorité absolue de tout nettoyage de données conservées, avant presque tout le reste. Ce sont les données les plus attrayantes pour les pirates, les plus strictement réglementées et dont la conservation est manifestement inutile dès lors que la tokenisation est disponible. La mesure la plus rapide que la plupart des hôtels puissent prendre en matière de RGPD et de sécurité consiste à identifier tous les numéros de carte stockés et à mettre fin à la pratique qui a conduit à leur enregistrement.

Listes marketing, consentement et responsabilité cachée

C’est dans le domaine des données marketing que les bonnes intentions engendrent un risque latent. Un hôtel constitue une liste de diffusion au fil des années, à partir de formulaires de réservation, d’inscriptions au Wi-Fi, de concours ou d’une case d’abonnement à la newsletter, et revient rarement en arrière pour vérifier si chaque contact a réellement donné son consentement, si ce consentement était spécifique et éclairé, et s’il est toujours valable. Il en résulte une liste volumineuse dont l’origine est obscure, exactement le genre de situation qui transforme une plainte banale en un problème réglementaire.

La discipline de conservation des données marketing repose sur le consentement. Vous ne pouvez conserver et utiliser des données marketing que tant que vous disposez d’un consentement valide, ce qui signifie que le contact a activement donné son accord, savait à quoi il s’engageait et peut se désinscrire aussi facilement qu’il s’est inscrit. Deux règles en découlent. Premièrement, respectez immédiatement et intégralement les désabonnements : lorsqu’une personne se désabonne, cessez de lui envoyer des e-mails et retirez-la de la liste active, en conservant tout au plus une trace minimale de suppression afin de ne pas la réajouter par inadvertance. Deuxièmement, gérez l’inactivité. Un contact qui n’a pas ouvert d’e-mail ni cliqué sur un lien depuis deux ou trois ans est un contact dont le consentement est périmé et dont vous n’avez guère de raison de conserver les données ; une politique raisonnable consiste à lui demander à nouveau son consentement une seule fois, puis à le supprimer s’il ne répond pas.

Cela peut sembler contre-intuitif pour les opérateurs qui assimilent une liste plus longue à une plus grande portée, mais une longue liste de contacts sans consentement, inactifs et dont les données sont peut-être détenues de manière irrégulière ne constitue pas un atout ; c’est un passif qui génère de mauvais résultats et présente un risque élevé. Une liste plus restreinte de personnes qui souhaitent réellement recevoir de vos nouvelles est plus performante et ne présente pratiquement aucun risque lié au RGPD. L’élagage de la liste est à la fois un acte de conformité et une amélioration marketing, ce qui constitue une rare synergie qui mérite d’être mise en œuvre.

OTA, gestionnaires de canaux et qui supprime quoi

Les données des clients ne proviennent pas d’une seule source, ce qui complique leur conservation. Une réservation peut provenir de votre site web direct, de Booking.com ou d’Expedia, via un gestionnaire de canaux, d’une agence de voyages ou par téléphone. Une hypothèse courante et dangereuse consiste à penser que si la réservation a été effectuée via une OTA, celle-ci est propriétaire des données et que leur suppression réglemente la vôtre. Ce n’est pas le cas.

Dans la plupart des relations avec les OTA, la plateforme et l’hôtel agissent tous deux en tant que responsables du traitement de leurs propres copies des données des clients. L’OTA est responsable des données présentes dans ses systèmes et de leur effacement au sein de ceux-ci ; vous êtes responsable de la copie qui aboutit dans les vôtres. Lorsqu’une réservation Booking.com transite par votre gestionnaire de canaux pour aboutir dans votre PMS, c’est l’enregistrement durable qui nécessite une politique de conservation et un processus d’effacement qui se trouve désormais dans votre environnement. Le gestionnaire de canaux sert généralement de relais, de sous-traitant transférant les données, mais c’est à vous qu’il revient de gérer la copie stockée dans le PMS.

Les implications pratiques sont claires. Vous ne pouvez pas vous contenter de désigner une OTA et considérer qu’une demande de suppression est traitée ; vous devez la traiter dans vos propres systèmes, quelle que soit la manière dont la réservation est arrivée. Vous devez savoir, pour chaque plateforme que vous utilisez, qui est le responsable du traitement et qui est le sous-traitant pour quelles données, ce qui est défini dans les conditions de traitement des données que vous avez acceptées et que vous lisez rarement. Et votre calendrier de conservation doit couvrir toutes les copies des données clients présentes dans votre environnement, et pas seulement celles provenant de votre canal direct, car une autorité de régulation ou un client plaignant ne se souciera pas de savoir que les données provenaient à l’origine d’ailleurs.

Les modalités pratiques : suppression dans le PMS, le CRM, les e-mails et les sauvegardes

Savoir ce qu’il faut supprimer, c’est la moitié du chemin ; les supprimer effectivement dans le dédale des systèmes d’un véritable hôtel, c’est l’autre moitié, et c’est là que les bonnes intentions s’évanouissent. Les données des clients se trouvent rarement au même endroit. Elles sont dans le PMS, le CRM ou l’outil de gestion des profils clients, la plateforme de marketing par e-mail, les feuilles de calcul, la boîte de réception où quelqu’un a transféré une réservation, et les sauvegardes qui sous-tendent tout cela. Une politique de conservation qui ne supprime les données que du PMS laisse des copies partout ailleurs.

Commencez par recenser où se trouvent réellement les données, un exercice identique à celui imposé par le calendrier de conservation. Pour chaque système, déterminez comment fonctionne la suppression : le PMS permet-il de supprimer ou d’anonymiser un profil client ? L’outil de messagerie supprime-t-il réellement un contact ou se contente-t-il de le masquer ? Pouvez-vous vider les tableurs et cesser d’en créer de nouveaux ? L’objectif est de définir un parcours de suppression précis pour chaque emplacement où se trouvent les données des clients, de sorte que, lorsqu’une période de conservation expire ou qu’une demande d’effacement est reçue, vous puissiez agir partout, et pas seulement dans le système le plus évident.

Les sauvegardes sont la question sur laquelle tout le monde bute, et la position des autorités de régulation est pragmatique. On attend de vous que vous supprimiez rapidement les données des systèmes actifs et en production. En ce qui concerne les sauvegardes, on s’attend à ce que les données soient supprimées selon un cycle de rotation normal et documenté, et à ce que vous ne restauriez pas les données effacées dans les systèmes actifs. On ne vous demande généralement pas d’ouvrir chaque sauvegarde historique pour en extraire chirurgicalement les données d’un client dès qu’il en fait la demande. Deux éléments justifient cette approche : des sauvegardes suivant une rotation raisonnable qui écrase les anciennes données plutôt que de les conserver indéfiniment, et un processus de restauration qui réapplique les suppressions afin qu’une récupération ne ressuscite pas discrètement les enregistrements supprimés. Une sauvegarde que vous n’écrasez jamais constitue en soi un manquement aux contraintes de stockage ; la solution consiste donc en partie à simplement mettre en place une véritable politique de conservation des sauvegardes.

Lorsque la suppression n’est pas facilement réalisable, l’anonymisation est l’alternative acceptée. Si vous souhaitez conserver des statistiques agrégées, des tendances d’occupation ou des moyennes de durée de séjour, vous pouvez supprimer des données tout élément permettant d’identifier une personne et conserver les chiffres anonymisés, qui ne relèvent plus du RGPD puisqu’ils ne constituent plus des données à caractère personnel. Réalisée correctement, cette démarche vous permet de conserver les informations commerciales utiles sans encourir de responsabilité.

Traitement d’une demande d’accès ou d’effacement

Lorsqu’un client exerce ses droits, la demande elle-même est soumise à des règles, et pour la traiter sans heurts, il s’agit avant tout d’avoir un processus prêt avant même que la première ne parvienne. Les deux types de demandes les plus courants sont la demande d’accès, par laquelle le client souhaite obtenir une copie des données que vous détenez à son sujet, et la demande d’effacement, par laquelle il souhaite que ces données soient supprimées. Les deux sont soumises au même délai d’un mois et suivent les mêmes étapes de base.

Tout d’abord, identifiez la demande. Elle ne doit pas nécessairement être formulée via un formulaire ou utiliser un langage juridique ; un e-mail indiquant « veuillez m’envoyer toutes les données que vous détenez à mon sujet » ou « supprimez mes données » est suffisant, et le délai commence à courir dès sa réception. Assurez-vous que le personnel de la réception et du service des réservations sache transmettre ces demandes au responsable de la protection des données, plutôt que de les ignorer ou de les traiter de manière inappropriée. Ensuite, vérifiez l’identité de la personne, de manière proportionnée. Vous devez vous assurer que vous avez affaire à la personne concernée avant de lui remettre ou de supprimer des données, mais vous ne devez pas exiger de preuves excessives ; il suffit généralement de vérifier qu’elle contrôle l’adresse e-mail ou la référence de réservation figurant dans le dossier. Exiger trop de justificatifs d’identité constitue en soi un problème de collecte de données.

Troisièmement, intervenez sur l’ensemble des systèmes en suivant les schémas de cartographie et de suppression ci-dessus, et appliquez la logique de conservation légale : en cas d’effacement, supprimez tout ce que vous n’avez plus de base légale pour conserver, ne conservez que ce que la loi impose ; en cas de demande d’accès, rassemblez une copie complète, y compris les éléments facilement oubliés. Quatrièmement, répondez par écrit dans un délai d’un mois, en expliquant les mesures que vous avez prises et, pour toute donnée conservée, en précisant les raisons de cette conservation. Tenez un registre simple des demandes et des réponses. Rien de tout cela n’est difficile une fois que le processus est en place ; les échecs proviennent de l’absence de processus, de sorte que la première demande déclenche la panique, des délais non respectés, et soit une suppression excessive, soit un refus catégorique, ce qui peut transformer une demande mineure en plainte.

Plan de mise au propre de la conservation des données en 30 jours

Vous n’avez pas besoin d’une année ni d’un consultant pour passer d’une attitude « on conserve tout » à une position défendable. Un mois consacré à cette tâche, sous la direction d’une personne habilitée à prendre des décisions, permet à un hôtel indépendant type d’atteindre en grande partie son objectif.

Jours 1 à 7 : identifiez les données. Recensez tous les emplacements où se trouvent les données personnelles des clients : PMS, CRM ou profils clients, outil de marketing par e-mail, feuilles de calcul, disques partagés, boîtes de réception, l’ancien système que personne n’a mis hors service, dossiers papier. Soyez impitoyable envers les recoins oubliés, car c’est là que se cache le plus grand risque. Signalez immédiatement tout numéro de carte bancaire stocké ainsi que toute copie numérisée de passeport ou de pièce d’identité stockée séparément ; ce sont vos cibles prioritaires.

Jours 8 à 14 : établissez le calendrier de conservation. Élaborez le calendrier de conservation : pour chaque catégorie de données, consignez la base légale, la finalité, la durée de conservation (conforme à votre législation nationale en matière fiscale et d’enregistrement pour les données soumises à des obligations légales), ainsi que leur emplacement. Définissez votre règle d’inactivité marketing ainsi que les durées de conservation des enregistrements de vidéosurveillance et des notes. Ce document constitue la colonne vertébrale de tout le reste.

Jours 15 à 21 : corrigez les expositions les plus graves. Éliminez les données de cartes stockées en passant à des paiements tokenisés et en détruisant tous les numéros de carte sur papier ou dans des feuilles de calcul. Supprimez ou sécurisez correctement les scans d’identité stockés séparément. Épurer la liste marketing : respectez toutes les demandes de désabonnement en attente et supprimez ou demandez une nouvelle autorisation pour les contacts inactifs depuis longtemps. Ces trois actions éliminent la plupart des risques concrets.

Jours 22 à 28 : mettez en place les processus. Définissez la procédure de suppression pour chaque système afin que les délais de conservation puissent être effectivement respectés, en automatisant idéalement ce qui peut l’être. Rédigez une procédure d’une page pour le traitement des demandes d’accès et d’effacement, précisant notamment qui en est responsable, comment l’identité est vérifiée et le délai d’un mois à respecter. Informez le personnel d’accueil et de réservation afin que les demandes soient acheminées et ne se perdent pas. Vérifiez que votre cycle de sauvegarde est limité dans le temps et documenté.

Jours 29 à 30 : documentez et planifiez l’examen. Enregistrez le calendrier de conservation et la procédure de demande à un endroit accessible à l’équipe ; consignez ce que vous avez supprimé, ce qui constitue une preuve utile de bonne foi si un organisme de contrôle venait à le demander ; et inscrivez une date récurrente dans le calendrier, tous les trimestres ou deux fois par an, pour faire respecter le calendrier et procéder à un nouveau tri. La conservation des documents n’est pas un projet ponctuel ; c’est une habitude, et c’est le rappel du calendrier qui empêche l’accumulation de documents de reprendre de plus belle.

Le rôle de Prostay, en bref et en toute honnêteté

Avertissement : j’écris pour Prostay, qui développe un système de gestion immobilière et une couche de paiement intégrée pour les hôtels ; cette section reflète donc mes intérêts et ne constitue pas un conseil neutre. Le point honnête et utile est précis. Une grande partie du problème de conservation des données est d’ordre architectural, et les bons systèmes font en sorte que la conformité devienne la norme. Un PMS qui vous permet de supprimer ou d’anonymiser proprement le profil d’un client, plutôt que de laisser des données éparpillées et impossibles à supprimer, facilite considérablement le respect des délais de conservation programmés et des demandes d’effacement. De plus, les solutions de paiement qui utilisent la tokenisation par défaut, comme le fait Prostay Pay, suppriment entièrement les données de carte de votre environnement, ce qui élimine toute une catégorie de risques liés à la conservation des données et aux violations de données avant même que vous n’ayez rédigé la moindre politique.

Rien de tout cela ne nous est propre, et ce n’est pas le sujet de cet article. De nombreux fournisseurs modernes de PMS et de solutions de paiement gèrent bien ces aspects, et le choix approprié dépend de votre infrastructure et de votre pays. Le test véritablement utile est celui présenté dans cet article : vos systèmes sont-ils capables de supprimer ce que votre calendrier prévoit de supprimer, réduisent-ils au minimum les données sensibles que vous conservez dès le départ, et pouvez-vous donner suite à une demande d’effacement sur l’ensemble de ces systèmes dans un délai d’un mois ? Si c’est le cas, le fournisseur n’a guère d’importance. Si ce n’est pas le cas, c’est cette lacune qu’il faut combler, que ce soit avec nous ou avec n’importe qui d’autre. Achetez et configurez vos solutions pour qu’elles respectent les normes par défaut, et non pour cocher une case sur une liste de fonctionnalités.

Foire aux questions

Cinq questions que les exploitants hôteliers posent le plus souvent au sujet de la conservation des données et du droit à l’effacement dans le cadre du RGPD, auxquelles nous répondons en nous appuyant sur la réalité du terrain plutôt que sur le texte du règlement.

FAQ

Questions fréquentes

  • Combien de temps un hôtel peut-il conserver les données de ses clients en vertu du RGPD ?
    Le RGPD ne fixe pas de durée précise, ce qui frustre les opérateurs à la recherche d’une règle unique. Il stipule plutôt que vous ne pouvez conserver des données à caractère personnel que pendant la durée nécessaire à la finalité pour laquelle elles ont été collectées, majorée de toute période exigée par une loi distincte. En pratique, cela signifie que chaque type de données est soumis à un délai de conservation différent. Les données relatives aux réservations et aux factures sont généralement conservées pendant la durée prévue par la réglementation fiscale et comptable de votre pays, soit généralement entre 6 et 10 ans (10 ans en Allemagne et en France, environ 6 ans dans la plupart des pays européens, 7 ans dans certains). Les données marketing ne sont conservées que tant que le consentement du client est valable, c’est-à-dire jusqu’à ce qu’il se désabonne ou devienne inactif conformément à votre politique. Les notes opérationnelles, les enregistrements de vidéosurveillance et les journaux d’accès doivent être conservés pendant une courte durée, souvent de quelques jours ou semaines. La bonne approche ne consiste pas à se demander « quelle durée le RGPD autorise-t-il ? » en termes de chiffre unique ; il s’agit plutôt d’établir un calendrier de conservation qui précise chaque catégorie de données client, sa base légale et la durée spécifique au terme de laquelle vous les supprimez, puis de veiller à ce que ce calendrier soit effectivement respecté. La violation qui préoccupe les autorités de contrôle est la conservation de toutes les données indéfiniment « au cas où », ce que le principe de limitation de la conservation interdit formellement.
  • Si un ancien client nous demande de supprimer ses données, sommes-nous toujours tenus de le faire ?
    Non, et le fait de supposer que vous y êtes obligé peut vous mettre en situation d’infraction à d’autres lois. Le droit à l’effacement (le « droit à l’oubli ») est fort, mais pas absolu. Vous devez effacer les données lorsque vous n’avez plus de motif légal de les conserver, par exemple les données marketing après le retrait du consentement. Mais vous pouvez, et devez parfois, refuser ou refuser partiellement lorsque une autre obligation légale vous impose de conserver des données spécifiques. L’exemple le plus clair concerne les documents comptables : si la législation fiscale vous oblige à conserver la facture d’un séjour pendant dix ans, vous ne pouvez pas supprimer cette facture simplement parce que le client vous le demande, et vous devez le lui expliquer. La réponse appropriée à une demande de suppression n’est donc pas un « oui » ou un « non » instinctif ; elle consiste à supprimer tout ce que vous n’avez plus de fondement légal de conserver, à ne conserver que les données spécifiques qu’une loi vous oblige à conserver (et uniquement pendant cette période), à indiquer au client ce que vous avez supprimé et ce que vous avez conservé ainsi que les raisons de ces choix, et à le faire dans un délai d’un mois. Une réponse générale du type « nous avons tout supprimé » peut être tout aussi non conforme que le fait d’ignorer la demande.
  • Faut-il également supprimer les données d'un client de nos sauvegardes ?
    C’est la question qui pose le plus de problèmes aux hôtels, et la position des autorités de régulation est pragmatique plutôt qu’absolue. On attend de vous que vous effaciez rapidement les données de vos systèmes actifs et en service, et que vous disposiez d’un processus défini pour que ces données soient également supprimées des sauvegardes dans le cadre du déroulement normal des opérations, généralement lorsque la sauvegarde atteint sa date d’expiration et est écrasée selon son cycle standard. On ne vous demande généralement pas d’ouvrir chaque bande de sauvegarde historique pour supprimer minutieusement les données d’un client le jour même. Vous devez respecter deux principes : vous assurer que les données ne soient pas restaurées à partir d’une sauvegarde après leur effacement, et mettre en place une rotation raisonnable et documentée des sauvegardes afin qu’elles ne conservent pas indéfiniment les données à caractère personnel. Une sauvegarde que vous ne remplacez jamais constitue en soi un problème de limitation de stockage. Documentez votre politique de conservation des sauvegardes et votre processus d’exclusion de restauration, et vous pourrez défendre cette approche ; si vous comptez sur des sauvegardes que vous conservez indéfiniment, vous ne le pourrez pas.
  • Nous utilisons Booking.com et un gestionnaire de canaux. À qui incombe-t-il de supprimer les données des clients ?
    Chaque partie est responsable des données présentes dans ses propres systèmes, et l’erreur consiste à supposer que la suppression effectuée par l’OTA s’applique également aux vôtres. Lorsqu’un client effectue une réservation via une OTA, celle-ci et l’hôtel agissent généralement en tant que responsables du traitement de leurs propres copies des données. L’OTA gère la suppression au sein de sa plateforme ; vous devez la gérer au sein de la vôtre, c’est-à-dire dans votre PMS, votre CRM, votre outil de messagerie, vos feuilles de calcul et tous vos fichiers exportés. Le gestionnaire de canaux sert généralement d’intermédiaire qui transmet la réservation à votre PMS ; par conséquent, la copie permanente nécessitant une politique de conservation est celle qui aboutit dans vos systèmes. Concrètement, cela signifie que vous ne pouvez pas vous contenter de pointer du doigt Booking.com et considérer que le problème est réglé. Vous devez disposer de votre propre calendrier de conservation et de votre propre processus d’effacement pour chaque copie des données des clients qui parvient dans votre environnement, quel que soit le canal par lequel elle est arrivée. Cela implique également de vérifier vos conditions de traitement des données avec chaque plateforme afin de savoir qui est le responsable du traitement et qui est le sous-traitant pour quelles données.
  • Est-ce que réduire au minimum les données que nous conservons est réellement plus sûr que de les conserver à des fins de marketing ?
    Presque toujours, oui, et c’est là le changement stratégique qui mérite d’être opéré. Chaque catégorie supplémentaire de données à caractère personnel que vous conservez, et chaque année supplémentaire pendant laquelle vous les conservez, représente un risque accru en cas de violation, une charge supplémentaire à gérer en cas de demande d’accès ou de suppression, et davantage d’éléments susceptibles d’être remis en cause par une autorité de contrôle, le tout pour un espoir souvent vague de valeur marketing future. La minimisation des données, qui consiste à ne collecter que ce dont vous avez besoin et à les supprimer en temps voulu, est à la fois un principe du RGPD et tout simplement une bonne gestion des risques. Les données qui justifient leur existence – le profil marketing d’un client ayant donné son consentement, le dossier de fidélité qu’il utilise activement, la facture exigée par la législation fiscale – ont une raison d’être claire. Les données qui n’en ont pas, comme la copie numérisée du passeport que vous n’avez jamais supprimée, les adresses e-mail inactives depuis une décennie ou les numéros de carte bancaire stockés dans un ancien tableur, ne constituent qu’un pur risque. Les établissements qui gèrent bien le RGPD ne sont pas ceux qui possèdent les plus grandes bases de données ; ce sont ceux qui conservent le moins de données pendant la durée la plus courte possible et qui peuvent le prouver. Moins de données signifie moins de risques, et les paiements tokenisés, associés à un véritable calendrier de conservation, vous permettent d’atteindre en grande partie cet objectif.
À lire ensuite

Essayer Prostay

Gérez votre hôtel avec la plateforme dont nous parlons dans nos articles.

Importez vos données et les habitudes de votre équipe. Nous vous montrerons une configuration Prostay équivalente sur vos 30 derniers jours d'activité.

Demander une démoDécouvrir le PMS

À propos de cet article

Catégorie: Hotel Technology & Innovation. Publié le 21 juin 2026 par Mika Takahashi.