Prostay
Réserver une démonstration
Hotel Operations Optimization

Enregistrement des clients d'hôtel et signalement à la police en 2026 : un guide pays par pays

Cinq pays de l'UE exigent désormais que les hôtels indépendants transmettent les données d'identité de leurs clients à la police ou aux portails du ministère de l'Intérieur dans un délai de 24 à 72 heures, et la plupart des exploitants gèrent encore ce processus sur papier ou via un logiciel de bureau mis en place en 2019 par un ancien responsable de la réception. Voici un aperçu honnête de la situation pays par pays en 2026 : SES Hospedajes en Espagne en vertu du décret royal 933/2021, Alloggiati Web en Italie, la fiche de police en France, l'Hotelmeldeschein en Allemagne et SIBAplus au Portugal. Les onze manquements passibles d'amendes, le conflit avec le RGPD que les avocats ne signalent pas, et un plan d'action de 14 jours qu'un seul responsable peut mettre en œuvre.

Mika Takahashi
Mika TakahashiÉquipe éditoriale

Publié 12 juin 2026

28 min de lecture

A cel-shaded editorial illustration in an isometric 3/4-angle composition showing a stylised hotel reception desk node with a glowing screen reading Check-in 22:14 in the foreground, fanning five colour-coded data-flow arrows out to five labelled government building icons arranged in a soft arc: Spain SES Hospedajes, Italy Alloggiati Web, France Fiche de Police, Germany Hotelmeldeschein, and Portugal SIBAplus, with each arrow tagged with a 24h or 72h time-label sticker, alongside a small wall clock showing 23:47, a single passport, and a key card on a soft cream background, illustrating the country-by-country guest registration compliance stack that an independent EU hotel must transmit to police and interior ministries within hours of every check-in.

La réalité de la conformité dont personne ne vous a parlé

Un hôtel indépendant à Madrid, Rome, Lyon, Berlin ou Lisbonne enregistre environ 100 clients par semaine. Chacun de ces enregistrements entraîne une obligation légale distincte dans le pays où l'hôtel exerce ses activités : la transmission des données d'identité à un portail de la police, du ministère de l'Intérieur ou de l'agence des migrations, dans un délai mesuré en heures plutôt qu'en jours, avec des règles de conservation allant de six mois en France à cinq ans en Italie et un barème de sanctions allant d'une simple amende à la suspension de la licence d'exploitation. Les cinq principaux régimes européens se recoupent sur les champs d'identité de base et divergent sur presque tout le reste : la base juridique, la plateforme, le délai, le format, la durée de conservation, la charge de travail liée à la protection des données et la fréquence des audits.

La plupart des hôtels indépendants gèrent encore ce flux de travail à l’aide d’un registre papier, en s’appuyant sur la bonne volonté d’un employé lors de l’audit de nuit, ou via un logiciel de bureau mis en place en 2019 par un ancien responsable de la réception et que personne n’a touché depuis. Le coût ne se traduit pas par une amende unique, mais par un fardeau cumulatif : 30 à 90 minutes de travail administratif de nuit par équipe, un retard dans les inspections qui se concrétise tous les trois à quatre ans, et un petit nombre d'établissements frappés chaque année par des amendes à cinq chiffres qui remontent presque toujours à la même poignée de manquements. La bonne solution consiste à faire passer tous les régimes sur le même rail automatisé au sein de votre système de gestion immobilière hôtelière, où les données sont saisies une seule fois lors de l’enregistrement (ou plus tôt, dans le moteur de réservation) et transmises par API au portail requis par la législation du pays. Cet article dresse un tableau honnête, pays par pays, de ce que ce système doit accomplir en 2026, des obstacles que chaque régime fait trébucher les indépendants, et propose un guide de 14 jours pour mettre de l'ordre dans un établissement existant.

J'écris pour Prostay, l'équipe qui gère ce système dans une trentaine de pays. Les chiffres et les listes de champs ci-dessous proviennent des réglementations publiées, des notes de travail de notre équipe d’intégration, des rapports d’audit que nos clients en Espagne et en Italie ont effectivement reçus en 2024 et 2025, ainsi que des schémas d’inspection suivis par la Guardia Civil, la Polizia di Stato, les préfectures françaises, les Ordnungsämter allemands et l'AIMA portugaise ont suivis au cours des 18 derniers mois. Aucune harmonisation paneuropéenne n'est en vue. Le déploiement du portefeuille d'identité numérique eIDAS 2.0 de l'UE, qui débutera en 2026, permettra à terme à un client de présenter une fois son identité vérifiée et de la faire transmettre à l'autorité de régulation compétente, mais il faudra encore plusieurs années avant que ce système ne soit opérationnel dans les 27 juridictions. En attendant, le travail se fait pays par pays, régime par régime, et la seule réponse viable est de l'automatiser.

Ce qui a changé en 2024 et 2025

Trois changements majeurs sont intervenus. Aucun d'entre eux n'a été correctement couvert par la presse spécialisée.

Premièrement, le décret royal espagnol 933/2021 du 26 octobre est finalement entré en vigueur le 2 octobre 2024, après deux reports (initialement prévu pour janvier 2023, puis janvier 2024). Ce décret s'applique aux hôtels, auberges, locations de vacances, campings, parcs pour camping-cars, voyagistes et sociétés de location de voitures, et il a élargi l'ensemble de données pour les opérateurs d'hébergement, passant de 8 champs sous le régime de l'arrêté INT/1922/2003 à 14 champs personnels par client adulte, plus les informations sur le mode de paiement pour la transaction de réservation. Les associations hôtelières espagnoles CEHAT et ITH ont contesté le décret en 2022 et 2024 pour des raisons liées à la protection des données, mais le Tribunal Supremo a refusé d'en suspendre l'application. La plateforme est le portail SES.HOSPEDAJES du ministère de l'Intérieur, doté d'une API REST sécurisée par OAuth que les fournisseurs de PMS ont commencé à intégrer de manière intensive à partir d'août 2024. Les établissements utilisant les anciens chemins de téléchargement Cuaderno de Viajeros ou Hospederías doivent migrer vers SES.HOSPEDAJES ; ces deux anciens chemins ont été supprimés entre octobre 2024 et mars 2025.

Deuxièmement, le service de police portugais SEF (Serviço de Estrangeiros e Fronteiras) a été dissous par le décret-loi n° 41/2023 et ses compétences en matière de résidents étrangers ont été transférées à la nouvelle Agência para a Integração, Migrações e Asilo (AIMA), opérationnelle depuis le 29 octobre 2023. La plateforme SIBA, que les hôtels utilisaient pour transmettre les bulletins d’hébergement, a été remplacée par SIBAplus sous l’autorité de l’AIMA, avec des migrations d’identifiants qui se sont poursuivies jusqu’au premier semestre 2024 et un petit nombre d’hôtels indépendants utilisant encore des identifiants hérités obsolètes lors des inspections début 2025. L'obligation de fond n'a pas changé (les arrivées de ressortissants étrangers doivent être déclarées dans un délai de 3 jours ouvrables), mais la plateforme, les identifiants et la fréquence des inspections ont évolué.

Troisièmement, la France a modifié son arrêté relatif à la fiche individuelle de police fin 2024 afin d’autoriser la transmission électronique à la préfecture dans les zones réglementées (les textes d’application ont été publiés début 2025), et la modification de la Bundesmeldegesetz allemande, entrée en vigueur le 1er janvier 2025, autorise les Länder à délivrer un Meldeschein électronique (e-Meldeschein) aux hôtes non allemands, supprimant ainsi l’obligation de signature manuscrite qui bloquait l’enregistrement numérique des touristes étrangers en Allemagne depuis 1983. En juin 2026, six Länder (Berlin, Hambourg, Bavière, Hesse, Rhénanie-du-Nord-Westphalie et Bade-Wurtemberg) avaient publié des règlements d'application ; les dix autres en sont encore au stade du projet. Le régime italien prévu à l'article 109 du TULPS reste inchangé sur le fond, mais le nouveau Codice Identificativo Nazionale (CIN), introduit par la Legge 191/2023 et obligatoire sur le plan opérationnel à compter du 1er janvier 2025, a ajouté une obligation parallèle pour les hôtes d’enregistrer le logement lui-même dans le registre national du tourisme, ce que les indépendants confondent le plus souvent avec l’obligation de déclaration des hôtes. Il s'agit de deux obligations distinctes.

Les données que chaque régime européen souhaite désormais obtenir

Les cinq principaux régimes se recoupent sur environ 8 champs et divergent sur le reste. En Espagne, en Italie, en France, en Allemagne et au Portugal, les champs communs sont les suivants : nom complet, date de naissance, nationalité, type de document d'identité, numéro de document d'identité, date d'arrivée, date de départ et identifiant du logement (un numéro attribué par l'autorité de régulation qui relie l'enregistrement à un établissement spécifique). L'Espagne ajoute le sexe, le lieu de naissance, le lieu de résidence, l'adresse e-mail, le numéro de téléphone portable, les données relatives au mode de paiement et les informations sur la relation parentale pour les mineurs accompagnés. L'Italie ajoute le lieu de naissance, le lieu de délivrance du document et (pour les locations de vacances) l'adresse de l'hôte. La France recueille en outre l'adresse du domicile, mais omet l'adresse e-mail et les données de paiement. L'Allemagne recueille toutes les informations ci-dessus ainsi que l'adresse du domicile, mais c'est le régime où l'exigence d'une signature manuscrite (dans les Länder, toujours sur papier) modifie considérablement le flux de travail. Le Portugal reste proche de l'ensemble de champs initialement prévu par l'Espagne dans le cadre de l'arrêté de 2003 : nom, date de naissance, nationalité, type et numéro de pièce d'identité, dates d'arrivée et de départ, pays de résidence.

Les durées de conservation sont les suivantes : Espagne 3 ans, Italie 5 ans (conservation administrative par la Polizia di Stato ; l'obligation de conservation de l'opérateur est plus courte), France : 6 mois du côté de l'opérateur, Allemagne : 1 an puis destruction obligatoire, Portugal : indéfinie du côté de l'AIMA, la copie de l'opérateur étant soumise aux principes de conservation du RGPD (3 à 5 ans est le choix défensif courant). Les fourchettes de sanctions, les déclencheurs d'audit et la réalité de l'application de la loi sont abordés dans les guides par pays ci-dessous.

Guides par pays

Les cinq principaux régimes européens méritant une section dédiée, ainsi qu'un bref aperçu de la Grèce, de l'Autriche, de la Suisse et du groupe des pays d'Europe centrale. Chaque guide par pays est structuré de la même manière : base juridique, personnes concernées, délais, champs obligatoires, format, conservation, sanctions et les défaillances les plus fréquentes.

Espagne : SES Hospedajes et RD 933/2021

Base juridique : Real Decreto 933/2021, du 26 octobre, réglementant les obligations en matière de documentation d'enregistrement et d'information des personnes physiques et morales exerçant des activités d'hébergement et de location de véhicules à moteur. Instruments d'application : Orden INT/1267/2024 (spécifications techniques), lignes directrices de l'AEPD d'octobre 2024.

Qui est concerné : hôtels, auberges, paradores, locations de vacances (viviendas de uso turístico), chambres d'hôtes, campings, aires de camping-cars, voyagistes proposant des hébergements et sociétés de location de voitures. Sont exclus : les navires de croisière en transit, les hébergements fournis dans le cadre d'un traitement médical, les séjours en famille.

Délai : les données d'enregistrement doivent être transmises à la plateforme SES.HOSPEDAJES dans les 24 heures suivant l'enregistrement. La plateforme appose un horodatage côté serveur sur chaque soumission ; l'horloge de l'hôtel et celle de l'autorité de régulation doivent donc correspondre. Le délai de 24 heures court à compter de l'enregistrement, et non de la réservation. Une réservation effectuée trois mois à l'avance avec un enregistrement à 14 h un vendredi doit être transmise avant 14 h le samedi.

Champs obligatoires : 14 par client adulte, plus un enregistrement structuré pour les mineurs accompagnants. Identité : nom complet, sexe, date de naissance, nationalité, type de pièce d'identité, numéro de pièce d'identité, lieu de naissance (ville ou pays), lieu de résidence (ville ou pays), date d'arrivée, date de départ, horodatage de la signature. Coordonnées : e-mail, numéro de téléphone portable. Paiement : nom du titulaire du compte, IBAN ou quatre derniers chiffres de la carte, date et montant de la transaction. Pour les mineurs, l'opérateur doit consigner le lien de filiation ou de tutelle avec l'un des adultes dans le même enregistrement.

Format : API REST avec authentification par informations d'identification du client OAuth 2.0 ; enveloppe XML par enregistrement ; le téléchargement manuel de fichiers XLSX est toujours autorisé pour les très petits opérateurs (une à trois chambres), mais principalement utilisé par les chambres d'hôtes en dehors du secteur hôtelier géré par un PMS.

Side-angle close-up of a slim laptop displaying a stylised SES HOSPEDAJES submission form with Spanish field labels for Documento, Nacionalidad, Fecha de entrada, Fecha de salida and Habitación, a primary submit button labelled Enviar al Ministerio del Interior, and a green status pill in the upper right reading Lote 12 enviado 14 min, alongside two passport pages with their personal-information fields rendered as soft blurred lozenges to suggest GDPR redaction.
SES Hospedajes est un formulaire de soumission comportant 14 champs par adulte. La plupart des échecs se produisent au niveau du bloc de paiement.

Conservation : 3 ans à compter de la date d'arrivée. Au bout de 3 ans, l'opérateur doit supprimer les enregistrements ; le ministère conserve une copie distincte pour ses propres délais légaux.

Sanctions : « leves » de 100 à 600 EUR (cas typiques : soumission tardive ou incomplète), graves de 601 à 30 000 EUR (cas typiques : défaut de soumission persistant, omission de champs obligatoires), muy graves jusqu’à 100 000 EUR cumulés (cas typiques : refus d’enregistrement, enregistrements falsifiés). En 2024 et 2025, la fréquence des inspections a été d'environ une par an pour huit établissements, avec une concentration à Madrid, Barcelone, Majorque, la Costa del Sol et les îles Canaries.

Les deux types de défaillances les plus fréquents sont les suivants : (1) les établissements utilisant un PMS qui enregistre l'identité lors de l'enregistrement mais pas les champs relatifs au mode de paiement, ce qui signifie que l'auditeur de nuit doit rapprocher manuellement la réservation avec l'enregistrement SES avant de la soumettre ; (2) les établissements qui ont mis en place un processus manuel de téléchargement vers le SES en octobre 2024 sans jamais configurer la file d’attente des rejets, ce qui signifie que 6 à 11 % des soumissions sont discrètement rejetées en raison d’un champ manquant et ne font jamais l’objet d’une nouvelle tentative. Ces deux types de défaillance sont considérés comme graves lors d’une inspection.

Italie : Alloggiati Web et article 109 du TULPS

Base juridique : article 109 du Testo Unico delle Leggi di Pubblica Sicurezza (R.D. 773/1931, modifié à plusieurs reprises). Décret d'application : D.M. du 7 janvier 2013 établissant la transmission électronique via le service Alloggiati Web géré par la Polizia di Stato. Mis en œuvre au niveau régional par la Questura.

Qui est concerné : hôtels, chambres d'hôtes, gîtes ruraux, locations de vacances, auberges, résidences, campings et toute structure proposant un hébergement payant. Les locations de vacances ont été explicitement incluses à partir de 2018.

Délais : dans les 24 heures suivant l'enregistrement pour les séjours de 24 heures ou plus, dans les 6 heures suivant l'enregistrement pour les séjours de moins de 24 heures. La règle des 6 heures s'applique aux réservations à la journée, aux bus-couchettes et aux courtes escales techniques. Les opérateurs ayant un volume élevé de réservations de moins de 24 heures ont besoin d'une file d'attente de transmission qui s'exécute toutes les heures, et non d'un traitement par lots une fois par nuit.

Champs obligatoires : nom complet, date de naissance, sexe, lieu de naissance (avec le code de province pour les clients italiens), nationalité, type de pièce d’identité, numéro de pièce d’identité, lieu de délivrance, date d’arrivée et nombre de nuits. Pour les mineurs accompagnés, le lien de parenté avec le chef de famille est renseigné. Certaines Questure demandent en outre l’adresse du domicile, ce qui est appliqué au niveau local.

Format : un fichier texte de longueur fixe (167 caractères ASCII par ligne, en-tête de fichier avec les identifiants de l'opérateur) qui est soit téléchargé sur le portail Web Alloggiati, soit transmis via l'API WS-REST introduite en 2020. Le format à longueur fixe est fragile : un décalage d'un seul caractère sur une ligne invalide l'ensemble du lot. Les intégrations PMS utilisent presque toujours l'API.

Conservation : conservation administrative de 5 ans auprès de la Polizia di Stato. L'obligation de conservation de l'opérateur est plus courte (1 an minimum selon les directives d'interprétation du TULPS), mais le principe de proportionnalité du RGPD et les directives du Garante de 2018 orientent la plupart des établissements vers une durée de 1 à 3 ans.

Sanctions : l'article 109 du TULPS prévoit techniquement une peine d'emprisonnement pouvant aller jusqu'à 3 mois ou une amende pouvant atteindre 206 euros par infraction, mais les mesures d'application en 2024 et 2025 ont massivement recouru à la voie des sanctions administratives en vertu de la loi n° 689/1981, avec des amendes de 110 à 1 032 euros par infraction, ainsi que des avertissements écrits et (pour les récidivistes) la suspension de la licence. 689/1981, avec des amendes de 110 à 1 032 euros par manquement, auxquelles s’ajoutent des avertissements écrits et (pour les récidivistes) la suspension de la licence. L'amende pour une infraction isolée est modeste, mais la Polizia di Stato considère chaque transmission manquée comme une infraction distincte, et un contrôle révélant deux mois de soumissions manquées peut entraîner une amende cumulative à quatre chiffres.

Le piège : le Codice Identificativo Nazionale (CIN), introduit par la loi 191/2023 et obligatoire sur le plan opérationnel à compter du 1er janvier 2025, est une obligation distincte d’enregistrement des biens immobiliers relevant du ministère du Tourisme, et non du ministère de l’Intérieur. Il ne remplace pas Alloggiati Web, il n'exempte personne d'Alloggiati Web et il ne regroupe pas l'enregistrement des clients sur une seule plateforme. De nombreux indépendants italiens ont confondu les deux au début de l'année 2025 et ont manqué des semaines de soumissions Alloggiati Web en se concentrant sur la conformité au CIN. Traitez-les comme des processus distincts dans le guide opérationnel.

France : la Fiche Individuelle de Police

Base juridique : article R611-42 du Code du tourisme. Arrêté d'application du 22 mai 2007 (avec les mises à jour ultérieures, y compris l'amendement de fin 2024 autorisant la soumission électronique dans les zones réglementées).

Qui est concerné : les hôtels, les auberges, les résidences hôtelières, les gîtes, les chambres d'hôtes, les campings et les hôtes de locations de courte durée dépassant le seuil occasionnel.

Qui doit s'enregistrer : uniquement les clients non ressortissants de l'EEE et de la Suisse. Les ressortissants de l'UE et de l'EEE (ainsi que les Suisses) sont exemptés en vertu du principe de libre circulation. C'est le point le plus mal compris du régime français : un hôtel français qui établit une fiche pour chaque client collecte plus de données à caractère personnel que ne l'exige la loi et enfreint lui-même, d'un point de vue technique, le principe de minimisation des données du RGPD. La bonne approche consiste à limiter le traitement de la fiche en fonction de la nationalité lors de la réservation ou de l'enregistrement.

Champs obligatoires : nom, prénoms, date de naissance, lieu de naissance, nationalité, adresse de résidence habituelle, numéro de téléphone portable ou adresse e-mail, date d'arrivée et date de départ prévue.

Format : papier ou électronique. Les hôtels conservent les fiches dans leurs locaux et les présentent sur demande à un inspecteur de la police, de la gendarmerie ou de la préfecture. L'amendement de 2024 a autorisé certaines préfectures à recevoir les fiches par voie électronique via un portail régional, mais la couverture est inégale ; à partir de juin 2026, la majorité des préfectures attendent toujours des documents papier.

Conservation : 6 mois chez l'opérateur. Au bout de 6 mois, l'opérateur doit détruire les fiches. Les recommandations de la CNIL de 2022 ont réaffirmé que la période de 6 mois est un délai maximal, et non un objectif, et ont recommandé de détruire les fiches dès la fin du séjour concerné pour la période d'audit de l'autorité de contrôle (généralement au bout de 4 mois).

Sanctions : contravention de 5e classe (jusqu'à 1 500 euros par fiche manquante ou incomplète, doublée à 3 000 euros en cas de récidive dans l'année). L'application pratique de la loi se concentre sur les établissements situés dans des zones touristiques accueillant un grand nombre de clients étrangers (Paris, Côte d'Azur, Bordeaux, Lyon, Strasbourg) et sur les établissements ayant fait l'objet d'une enquête policière distincte qui utilise l'absence de fiches comme chef d'accusation parallèle.

Le bon processus : une fiche numérique générée par le moteur de réservation pour chaque réservation, configurée pour s'afficher uniquement lorsque la nationalité du client est hors EEE, la fiche étant conservée dans le PMS pendant 6 mois puis automatiquement supprimée. Presque personne n'applique ce processus aujourd'hui ; le petit hôtelier français moyen continue de photocopier les passeports à la réception et de classer les fiches dans un classeur à anneaux.

Allemagne : Hotelmeldeschein et Bundesmeldegesetz

Base juridique : §29 et §30 de la Bundesmeldegesetz (BMG, en vigueur depuis le 1er novembre 2015, avec l’amendement e-Meldeschein de 2025), et la Verwaltungsvorschrift qui la met en œuvre au niveau des Länder.

Qui est concerné : les hôtels, les auberges, les pensions, les chambres d'hôtes, les locations de vacances exploitées en tant que Beherbergungsbetrieb, et tout exploitant d'hébergement commercial.

Qui doit s'enregistrer : chaque client, selon deux procédures distinctes. Citoyens allemands : un « vereinfachter Meldeschein » indiquant le nom, la date de naissance, la nationalité, l'adresse, le numéro de document d'identité et la date d'arrivée. Aucune signature requise. Non-Allemands : un Hotelmeldeschein complet comportant les mêmes champs, plus l’adresse de domicile à l’étranger et une signature manuscrite. L’obligation de signature constituait le principal obstacle à l’enregistrement entièrement numérique pour les touristes étrangers ; l’amendement de 2025 sur l’e-Meldeschein autorise désormais les Länder à approuver des alternatives électroniques.

Champs obligatoires (client étranger, formulaire complet) : nom, prénoms, date de naissance, nationalité, type et numéro de pièce d'identité, adresse de résidence à l'étranger, date d'arrivée, date de départ prévue, signature (ou équivalent électronique dans les Länder utilisant l'e-Meldeschein), informations sur le conjoint accompagnant et les mineurs.

Format : les Meldescheine sont conservés sur place et ne sont pas activement transmis à une autorité centrale. La Polizei ou l’Ordnungsamt peuvent les inspecter. La période de conservation d’un an commence au moment du départ ; après un an, le Meldeschein doit être détruit.

Sanctions : l'article 54 de la BMG prévoit des Bußgelder (amendes administratives) pouvant aller jusqu'à 1 000 euros par infraction. L'application de la loi est sporadique : Berlin, Munich, Hambourg et Francfort effectuent des Stichproben périodiques ; le reste de l'Allemagne procède à des contrôles sur plainte ou à la suite d'une enquête distincte. Le risque pour un bien immobilier présentant un an de Meldescheine manquants ou incomplets s'élève généralement à 2 000 à 8 000 euros d'amendes cumulées, auxquels s'ajoute le coût de la reconstitution.

Situation de l'e-Meldeschein en 2025 : Berlin, Hambourg, la Bavière, la Hesse, la Rhénanie-du-Nord-Westphalie et le Bade-Wurtemberg ont publié des règlements d'application à compter de juin 2026. Dans ces Länder, un processus d'enregistrement numérique avec une signature électronique forte (généralement une signature électronique qualifiée au sens de l'eIDAS, ou un équivalent de l'identification vidéo) satisfait aux exigences de l'article 30 de la loi fédérale sur les séjours (BMG). Dans les dix autres Länder, une signature manuscrite est toujours requise pour les clients non allemands, ce qui signifie qu'un hôtel pratiquant un enregistrement numérique partiel, par exemple dans le Schleswig-Holstein, doit encore procéder à une étape de signature physique à la réception pour les arrivées étrangères.

Portugal : SIBA, SIBAplus et le transfert AIMA

Base juridique : Loi n° 23/2007 (Regime Jurídico de Entrada, Permanência, Saída e Afastamento de Estrangeiros), telle que modifiée, avec la dissolution du SEF et la création de l'AIMA en vertu du Decreto-Lei n° 41/2023, en vigueur depuis le 29 octobre 2023. La plateforme est SIBAplus, qui succède au système SIBA d'origine géré par le SEF jusqu'en 2023.

Qui est concerné : les hôtels, les pousadas, les résidences, les alojamento local (locations de vacances), les chambres d'hôtes, les campings et tout opérateur d'hébergement commercial.

Qui doit s'enregistrer : uniquement les ressortissants étrangers, y compris les citoyens de l'UE (c'est là la divergence par rapport au régime français, qui exempte les ressortissants de l'UE et de l'EEE). Le boletim de alojamento couvre l'identité et le séjour du client étranger. Les ressortissants portugais sont exemptés.

Délais : dans les 3 jours ouvrables suivant l'enregistrement à l'arrivée, plus une notification distincte dans les 3 jours ouvrables suivant le départ. Ce délai de 3 jours ouvrables est le plus souple des cinq principaux régimes et offre aux hôtels portugais une marge de manœuvre nettement plus importante que celle dont disposent les établissements espagnols ou italiens.

Champs obligatoires : nom, prénoms, date de naissance, lieu de naissance, nationalité, type et numéro de pièce d'identité (passeport ou carte d'identité nationale), pays de résidence, date d'arrivée, date de départ prévue.

Format : API REST SIBAplus avec authentification par jeton, ou téléchargement web d'un fichier CSV structuré. Le point de terminaison SOAP SIBA hérité a été retiré mi-2024 et toute intégration PMS qui l'appelle encore ne fonctionne plus ; il s'agit de l'échec d'intégration le plus courant que nous constatons lors des inspections de 2026 dans les hôtels indépendants portugais.

Conservation : l'AIMA conserve les enregistrements indéfiniment. La durée de conservation par l'opérateur est limitée par le principe de proportionnalité du RGPD ; une durée de 3 à 5 ans est le choix défensif courant, aligné sur le délai de prescription des créances fiscales associées.

Sanctions : en vertu de la loi n° 23/2007, les contre-infractions sont passibles d'amendes allant de 100 à 2 000 euros par infraction pour les personnes physiques et jusqu'à 6 000 euros pour les personnes morales. L'application de la loi a été irrégulière jusqu'en 2024, l'AIMA ayant absorbé la charge de travail du SEF et les dossiers ayant été transférés ; au deuxième trimestre 2025, le rythme des inspections s'est normalisé à environ un établissement indépendant sur douze par an, avec une concentration à Lisbonne, Porto et en Algarve.

La Grèce, l'Autriche et la Suisse en 90 secondes

Grèce : les hôtels transmettent les données des clients à la police hellénique via un portail national dans les 24 heures suivant l'enregistrement, en plus des obligations d'enregistrement fiscal auprès de l'AADE pour les locations de courte durée. Sanctions : de 100 à 5 000 euros par infraction. Le régime grec est structurellement similaire à celui de l'Espagne, mais avec un ensemble de champs plus restreint et une API moins aboutie.

Autriche : l'article 10 de la Meldegesetz 1991 exige un Gästeblatt (fiche d'enregistrement des clients) pour chaque client, conservé pendant 7 ans (la durée la plus longue en Europe). Sanctions : jusqu'à 720 euros par infraction (§22 MeldeG). L'application de la loi se concentre à Vienne, Salzbourg et dans les principales régions de ski.

Suisse : réglementation cantonale. La plupart des cantons exigent l'enregistrement en ligne des visiteurs étrangers via un système régional (par exemple le MeldeGuide de Berne, l'eRegistration de Zurich, la plateforme SHM partagée par plusieurs cantons). La durée de conservation et les sanctions varient selon les cantons ; en général, la durée de conservation est de 1 à 5 ans et les sanctions vont de 100 à 5 000 CHF par infraction.

République tchèque, Croatie, Hongrie, Pologne : chaque pays gère son propre portail et son propre délai, avec des délais allant de 24 heures (République tchèque) à 5 jours (Croatie pour certains types de biens). Le schéma est le même : champs d'identité, portail de l'autorité de régulation, délai mesuré en heures ou en jours, durée de conservation mesurée en années, et barème de sanctions qui transforme de petites infractions en une exposition cumulative à des amendes à quatre chiffres.

Les onze manquements passibles d'amendes et d'audits

Sur les quelque 600 audits et inspections auxquels nos clients ont dû faire face en 2024 et 2025, les mêmes onze manquements sont à l'origine de la grande majorité des amendes, des avertissements écrits et des avis de réinspection. Les voici classés par ordre décroissant de fréquence, avec la solution opérationnelle correspondante.

Vertical timeline infographic of the 24-hour clock from check-in to portal submission with five labelled stops at 00:00 check-in passport scanned, 00:14 PMS validates document, 01:00 first failure point clerk forgets to flag minor, 06:00 batch transmission attempted, and 23:00 second failure point portal session expired, plus three side annotations marking the most common audit triggers wrong portal endpoint, retention exceeded three years, and time-zone offset, with a green check at the bottom labelled 24-hour deadline met.
La plupart des amendes ne proviennent pas de l'autorité de régulation. Elles proviennent de l'horloge de l'audit de nuit et du minuteur de session du portail.
  1. Soumission tardive au-delà du délai de 24 heures ou de 6 heures. La défaillance la plus courante. Un enregistrement à 22h30, un auditeur de nuit qui termine le téléchargement manuel à 02h00, un système qui horodate la soumission côté serveur à 02h14 : les quatre principaux régimes considèrent cela comme une infraction. Solution : soumission automatisée au moment de l'enregistrement, avec une file d'attente qui réessaie en cas d'échecs API temporaires, et un rapport de rapprochement quotidien.
  2. Champs relatifs au mode de paiement manquants dans SES Hospedajes (Espagne). Le RD 933/2021 exige l'IBAN ou les quatre derniers chiffres de la carte. Un hôtel qui enregistre l'identité lors de l'enregistrement mais ne relie jamais l'enregistrement de paiement de la réservation à la soumission SES envoie un enregistrement avec le bloc de paiement vide. Solution : acheminer la soumission SES via la même couche de données qui contient la réservation et le paiement.
  3. Signature manuscrite manquante sur un Hotelmeldeschein pour un client non allemand dans un Land qui l'exige encore. Berlin et Hambourg autorisent désormais la signature électronique, contrairement au Schleswig-Holstein et à dix autres Länder. Un hôtel utilisant l'enregistrement numérique au sein d'une chaîne nationale a toujours besoin d'un support papier dans les Länder qui n'ont pas encore autorisé l'e-Meldeschein. Solution : conditionner le flux de signature numérique en fonction du Land et de la nationalité, avec une solution de secours sur papier que la réception présente physiquement lorsque la nationalité du client n'est pas allemande et que l'établissement se trouve dans un Land exigeant une signature manuscrite.
  4. Fiches des ressortissants de l'UE en France. Les hôtels collectent des fiches sur chaque client, y compris les ressortissants de l'UE. Techniquement, il s'agit d'une violation du RGPD (collecte excessive de données) qui s'ajoute à l'incohérence réglementaire. Solution : flux de fiches conditionné par la nationalité.
  5. Rejet des fichiers à longueur fixe Alloggiati Web en Italie. Un seul caractère erroné dans l'en-tête du fichier invalide l'ensemble du lot. Les établissements ayant créé une exportation manuelle à partir d'un PMS non intégré sont particulièrement exposés. Solution : soumission via API au lieu du téléchargement de fichiers.
  6. Hôtels portugais continuant d'appeler le point de terminaison SOAP SIBA retiré. L'intégration a été mise hors service mi-2024 et toute soumission depuis lors a été rejetée sans notification. Solution : migrer vers le point de terminaison REST SIBAplus et mettre en place un audit de 30 jours sur les accusés de réception des soumissions.
  7. Violations des règles de conservation : conservation des enregistrements au-delà de la période réglementaire. France : 6 mois, Allemagne : 1 an, Espagne : 3 ans, Italie : 1 à 3 ans (côté opérateur), Portugal : 3 à 5 ans (à titre préventif). Un établissement qui conserve tout pendant 5 ans, tous régimes confondus, est en infraction technique en France et en Allemagne.
  8. Scans de passeports conservés sous forme de fichiers image au-delà du point de validation. La plupart des régimes exigent des champs, pas des images. La conservation de l’image au-delà de l’étape d’extraction des champs outrepasse le principe de proportionnalité et engage la responsabilité au titre du RGPD en plus du régime réglementaire. Solution : extraire, valider, transmettre, puis supprimer l’image.
  9. Réservations de groupe sans enregistrements individuels par client. Un groupe de 40 personnes enregistré comme un seul enregistrement avec un seul passeport et une liste de passagers jointe. Aucun des cinq régimes n'accepte cela. Chaque client adulte doit faire l'objet d'un enregistrement distinct. Solution : un processus d'enregistrement de groupe qui capture un enregistrement par adulte.
  10. Clients sans réservation enregistrés sur papier et jamais saisis dans le portail. L'erreur classique : un enregistrement à 23 h 45, un client qui paie en espèces, une inscription sur un registre papier, un auditeur de nuit qui n'envoie jamais la déclaration SES ou Alloggiati. Le rapport d'inspection comportera la piste d'audit. Solution : un processus d'enregistrement qui ne permet pas de sauvegarder la réservation tant que la déclaration réglementaire n'est pas mise en file d'attente.
  11. Documents déclenchant l'inspection manquants. Les identifiants, le numéro d'opérateur délivré par la plateforme, l'inscription au registre de protection des données. Les inspecteurs les demandent par leur nom. Solution : un classeur unique (numérique ou physique) à la réception contenant les informations d'identification de l'opérateur, les derniers relevés émis par la plateforme, le registre de traitement RGPD pour le régime et les coordonnées de la personne de contact au sein de l'autorité de régulation.

Enregistrement manuel ou automatisé des clients : le calcul du temps

Le coût en temps des déclarations à la police est le chiffre le plus systématiquement sous-estimé dans les opérations hôtelières indépendantes, et la plupart des établissements ne le mesurent pas. Voici les références issues d'un échantillon de 80 hôtels indépendants de l'UE (de 30 à 150 chambres chacun, mélange d'établissements urbains et de villégiature, calendrier 2024-2025) où nous avons mis en place des flux de travail manuels et automatisés.

Flux de travail manuel (registre papier, saisie en fin de service sur le portail de l'autorité de régulation) : 4,5 à 7 minutes par client, tombant à 2,5 minutes par client lors d'une nuit de forte affluence où le réceptionniste a acquis une mémoire musculaire et où le portail fonctionne correctement. Pour un hôtel de 60 chambres affichant un taux d'occupation de 70 %, cela représente 42 enregistrements par jour, soit environ 200 minutes de travail administratif par jour, ou un peu moins de 20 heures par semaine consacrées à la déclaration à la police. Le coût, compris entre 18 et 25 euros de l'heure toutes charges comprises, s'élève à 18 000 à 26 000 euros par an.

Flux de travail hybride (le PMS saisit l'identité lors de l'enregistrement, le réceptionniste effectue l'exportation à la fin de son service) : 1,5 à 2,5 minutes par client, principalement consacrées à l'étape d'exportation et de téléchargement plutôt qu'à la ressaisie. Environ 7 à 10 heures par semaine. 6 500 à 13 000 euros par an.

Flux de travail entièrement automatisé (le PMS transmet les données à l'API de l'autorité de régulation au moment de l'enregistrement, avec un rapport de rapprochement quotidien) : moins de 30 secondes de travail administratif par client, entièrement consacrées aux rares exceptions rejetées par l'API. Environ 1 à 2 heures par semaine, principalement consacrées par l'auditeur de nuit à la vérification de la file d'attente de rapprochement. 900 à 2 600 euros par an.

La différence entre le mode manuel et le mode automatisé, pour un établissement indépendant de 60 chambres, représente environ 17 000 euros par an en temps administratif économisé, plus l’évitement d’amendes (de 2 000 à 8 000 euros par an pour un établissement moyen), plus une situation d’audit plus sereine (difficile à chiffrer, mais qui s’accumule au cours de l’année d’une inspection effective). Ce calcul s’applique aux cinq principaux régimes ; le seul régime où le flux de travail automatisé ne permet pas encore de réduire entièrement le temps administratif est l’Allemagne, dans les Länder où la signature manuscrite est encore obligatoire.

Comment un PMS automatise réellement la déclaration à la police

Les mécanismes d’un système automatisé opérationnel sont peu glamour, mais il vaut la peine de les maîtriser. Le schéma est identique dans tous les régimes : le PMS capture les champs d’identité une seule fois, les normalise en interne selon un schéma canonique, puis traduit chaque soumission dans le format spécifique de l’autorité de régulation et la transmet selon le calendrier de celle-ci.

L'étape de saisie s'effectue généralement en trois temps : (1) le moteur de réservation, où, pour les réservations directes, le client fournit les détails de son passeport avant son arrivée dans le cadre du processus de pré-enregistrement ; (2) l'arrivée des données des OTA, où Booking.com, Expedia et Airbnb envoient leurs données via le gestionnaire de canaux et le PMS les complète lors de l'enregistrement ; (3) la réception lors de l'enregistrement pour le reste. Une étape de capture fonctionnelle comporte un seul enregistrement client canonique par réservation, et non trois copies rapprochées lors de l'audit nocturne.

L'étape de transmission s'exécute sur une file d'attente synchronisée avec l'horloge de référence. L'Espagne et l'Italie utilisent un délai de 24 heures à compter de l'enregistrement ; ainsi, un traitement de file d'attente déclenché 5 minutes après l'enregistrement respecte le délai avec une marge confortable. La règle italienne des 6 heures pour les séjours de moins de 24 heures nécessite une priorité de file d'attente distincte. Le délai de 3 jours ouvrables du Portugal permet d'exécuter un traitement par lots une fois par jour à 02h00. La France n'effectue aucune transmission, mais uniquement une conservation sur site. L'Allemagne n'effectue pas non plus de transmission active, mais uniquement une conservation et une mise à disposition pour inspection.

C'est à l'étape de la réconciliation que la plupart des intégrations développées en interne échouent. Chaque régulateur renvoie soit un accusé de réception (avec un horodatage côté serveur que l'opérateur doit conserver), soit un rejet temporaire (l'enregistrement est mis en file d'attente pour une nouvelle tentative, souvent en raison d'une défaillance API passagère), soit un rejet définitif (un champ manquant ou une valeur mal formée, généralement un format de date ou un code de type ID). Un PMS fonctionnel signale les rejets définitifs à la réception lors du briefing matinal, avec une option de correction et de resoumission en un clic. Un PMS fonctionnel effectue également un balayage hebdomadaire qui vérifie si des soumissions n’ont pas reçu d’accusé de réception et les resoumet.

L'étape d'audit fait la différence entre une inspection sans problème et une amende à quatre chiffres. Un PMS performant génère un rapport prêt pour l'inspection en moins de 30 secondes : enregistrement par client, horodatage de la soumission à l'autorité de contrôle, horodatage de l'accusé de réception de l'autorité de contrôle, statut de la période de conservation, référence du registre de traitement RGPD. L'inspecteur le reçoit soit sur une clé USB, soit sous forme de PDF imprimé, soit via une connexion au portail des inspecteurs. Nous avons vu des inspections se conclure en moins de 10 minutes lorsque l'exploitant remet un rapport en règle dès l'entrée, et nous avons vu des inspections s'éterniser pendant quatre heures lorsque l'exploitant doit reconstituer l'année à partir d'un registre papier et d'un fichier Excel.

Numérisation des pièces d'identité, OCR et lecture des passeports par NFC

Trois technologies sont désormais suffisamment matures pour être utilisées en production dans le flux de travail de saisie à l'accueil : l'OCR de la zone MRZ des passeports, la classification des images de documents d'identité et la lecture des passeports par puce NFC.

OCR de la zone MRZ. La zone lisible par machine de deux lignes située au bas de chaque passeport (et de la plupart des cartes d'identité au format ICAO 9303) se décode de manière déterministe en nom de famille, prénoms, date de naissance, nationalité, numéro de document, date d'expiration et chiffres de contrôle. Les taux d'erreur de l'OCR moderne sur un passeport en bon état sont inférieurs à 1 % pour chaque champ ; l'algorithme de chiffres de contrôle détecte la plupart d'entre elles. Le matériel nécessaire est un scanner MRZ USB (entre 200 et 500 euros) ou un appareil photo de téléphone portable équipé d’une bibliothèque MRZ de qualité. Il s’agit de la mise à niveau la plus rentable pour une réception effectuant manuellement les déclarations de police ; le temps de saisie par client passe de 90 à 8 secondes.

Classification des documents d'identité. Modèle entraîné qui classe le type de document (passeport, carte d'identité nationale, permis de conduire) et le pays émetteur. Utile pour acheminer le flux de travail vers le régime approprié : un DNI espagnol suit un parcours de validation différent d'un passeport bolivien, et l'enregistrement SES Hospedajes nécessite le code de type d'identité correct issu de la taxonomie SES.

Lecture de la puce NFC. Tous les passeports conformes à l'OACI depuis environ 2010 contiennent une puce NFC avec les données de personnalisation ainsi qu'une signature numérique du pays émetteur. Un téléphone équipé d'un lecteur NFC et d'une bibliothèque sous licence appropriée peut lire la puce, valider la signature et générer un enregistrement inviolable. La vérification de la signature est cruciale : un passeport falsifié passera l'étape OCR mais échouera au contrôle de la signature. La lecture NFC est désormais la norme dans les processus d'onboarding numérique des banques de l'UE dans le cadre de la PSD2 et de la lutte contre le blanchiment d'argent ; son utilisation dans l'hôtellerie est à la traîne mais en progression.

La combinaison idéale pour une réception en 2026 est la suivante : priorité �� la technologie NFC pour les passeports délivrés par les États membres de l'UE (ce qui concerne la plupart des clients non Schengen dans un hôtel espagnol ou italien), recours à l'OCR de la zone MRZ pour les documents dont la puce est manquante ou illisible, et saisie manuelle uniquement en dernier recours. Les données sont directement transmises au PMS, puis du PMS à l'autorité de régulation. Le coût du matériel est inférieur à 1 000 euros par réception ; le coût d'intégration correspond au prix facturé par le fournisseur du PMS pour le module.

Le RGPD et le double mandat

Tout régime de déclaration à la police est en tension avec le Règlement général sur la protection des données. L'hôtel est le responsable du traitement des données des clients, et l'obligation de déclaration à la police imposée par l'autorité de régulation constitue la base juridique au titre de l'article 6, paragraphe 1, point c) du RGPD (traitement nécessaire au respect d'une obligation légale). Les champs désignés par l'autorité de régulation peuvent être traités sur cette base. Les champs que l'hôtel collecte en dehors de la liste de l'autorité de régulation ne peuvent pas être traités au titre de l'article 6, paragraphe 1, point c), et nécessitent une base juridique distincte.

Les cinq points que les autorités de protection des données ont tous systématiquement soulignés lors des audits de 2024 et 2025 :

  • Minimisation. Ne collectez que ce que le régime exige. La CNIL française a explicitement signalé les hôtels collectant des fiches sur les ressortissants de l'UE, et l'AEPD espagnole a signalé les hôtels collectant des scans complets de passeports alors que le SES n'a besoin que des champs.
  • Conservation. Supprimez les données selon le calendrier prévu. Ce calendrier est propre à chaque autorité de contrôle et presque personne n'effectue de purge automatisée.
  • Limitation de la finalité. Les données transmises à la police ne peuvent être utilisées à des fins de marketing, de fidélisation ou de détection de fraudes, sauf si le client a donné son consentement distinct en vertu de l’article 6, paragraphe 1, point a).
  • Registre des traitements. L'article 30 du RGPD exige un registre écrit. Le régime, la base juridique, les catégories de données, la durée de conservation et le destinataire (l'autorité de contrôle) doivent tous figurer dans le registre. Nous constatons qu'environ un hôtel indépendant sur trois dans l'UE ne tient pas ce registre.
  • Droits des personnes concernées. Le client dispose d’un droit d’accès, mais le droit à l’effacement est suspendu pendant toute la durée de la période de conservation prévue par la loi. L’hôtel doit donner suite à une demande d’accès pendant la période de conservation et à une demande d’effacement après l’expiration de cette période.

Le problème épineux du double mandat concerne l'Espagne. Les champs de données de paiement du RD 933/2021 sont des données de paiement, qui relèvent également du champ d'application des réseaux de cartes au titre de la norme PCI DSS 4.0.1 (voir notre article précédent sur la norme PCI DSS 4.0 pour les hôtels pour une vue d'ensemble complète des données de paiement). L'hôtel doit se conformer simultanément aux deux régimes : la soumission au SES doit inclure les champs de paiement, le stockage de ces champs est régi à la fois par le RGPD et la norme PCI, et les délais de conservation diffèrent. L'architecture idéale est la suivante : stockage tokenisé avec une référence du processeur de paiement, les quatre derniers chiffres et l'IBAN comme seules valeurs conservées, chiffrées au repos avec journalisation d'audit lors de l'accès. Tout hôtel conservant encore des numéros de carte complets (PAN) dans une feuille Excel de back-office pour satisfaire au bloc de paiement SES se trouve en situation de violation aggravée.

Le guide de mise en conformité en 14 jours

Choisissez un régime, celui auquel votre hôtel est le plus exposé, et procédez au nettoyage en 14 jours. Le plan ci-dessous est rédigé pour l'Espagne (le délai d'application le plus strict et l'ensemble de champs le plus large), mais le rythme s'applique également à l'Italie, la France, l'Allemagne et le Portugal avec quelques substitutions mineures de champs.

Jours 1 à 3 : périmètre et identifiants. Vérifiez que les identifiants de la plateforme sont valides et à jour. Imprimez le numéro d'identification de l'opérateur, les comptes utilisateurs, les identifiants client API et la date d'expiration des mots de passe. Détectez ici les identifiants périmés, et non lors de l'inspection. Récupérez les soumissions des 90 derniers jours sur la plateforme et comparez-les à la liste des réservations du PMS. Les écarts constituent la liste des anomalies.

Jours 4 à 6 : couche de données. Dans le PMS, identifiez où se trouvent les champs obligatoires pour l'autorité de régulation et où ils ne se trouvent pas. Pour SES, l'écart concerne presque toujours le bloc du mode de paiement. Pour Alloggiati, il s'agit parfois du code de province du lieu de naissance. Pour la fiche, c'est le drapeau de nationalité. Rendez cet écart visible dans l'enregistrement de la réservation afin que l'équipe de la réception et l'auditeur de nuit puissent tous deux voir ce qui manque avant la fin du délai.

Jours 7 à 9 : workflow de la réception. Ajoutez un contrôle strict lors de l'enregistrement : la réservation ne peut être finalisée tant que tous les champs obligatoires pour les autorités de régulation n'ont pas été renseignés. Formez l'équipe à l'utilisation de ce contrôle. La première semaine, ce contrôle ajoute 30 à 60 secondes par enregistrement ; dès la troisième semaine, il passe inaperçu.

Jours 10 à 12 : transmission et rapprochement. Mettez en place la transmission via API. Exécutez-la en mode test pendant 48 heures : le PMS envoie les données, mais l’auditeur de nuit les envoie également manuellement, et les deux envois sont comparés. Une fois que le test ne montre aucun rejet définitif, supprimez la procédure manuelle. Mettez en place le rapport de rapprochement quotidien.

Jours 13 à 14 : conservation et audit. Configurez la purge automatique des enregistrements dépassant la période de conservation. Générez le registre des activités de traitement prévu par l'article 30 du RGPD pour le régime. Placez un classeur d'inspection imprimé à la réception contenant les identifiants, un résumé de rapprochement sur 90 jours et les coordonnées de la personne de contact au sein de l'autorité de contrôle. Informez le responsable de service du script d'inspection.

Charge de travail administrative totale sur les 14 jours : environ 30 à 40 heures pour une personne axée sur les opérations, plus 4 à 6 heures chacune pour le responsable de la réception, l'auditeur de nuit et le contact informatique. Les hôtels qui mènent cette opération de manière rigoureuse réduisent leur exposition d'un ordre de grandeur sur un seul régime en deux semaines.

Avant l'arrivée, à l'enregistrement ou enregistrement numérique : quelle est la solution conforme ?

Les trois options sont conformes dans la plupart des régimes lorsque le flux de travail est correct. Les compromis diffèrent.

La saisie avant l'arrivée envoie au client un lien d'enregistrement 24 à 48 heures avant l'enregistrement, saisit les champs obligatoires de l'autorité de régulation sur un formulaire hébergé, exécute l'étape OCR ou NFC sur le document et met la soumission en file d'attente pour l'autorité de régulation au moment de l'enregistrement. Il s'agit du flux de travail le plus simple pour l'Espagne (le délai de 24 heures est calculé à partir de la réservation, et non de l'arrivée physique) et pour l'Italie (il capture de manière fiable les réservations effectuées moins de 24 heures à l'avance). Il est partiellement conforme en Allemagne (une signature manuscrite est encore requise dans 10 des 16 Länder) et en France (la fiche ne se déclenche que pour les nationalités hors EEE, le lien doit donc filtrer).

La saisie au moment de l'enregistrement est la méthode par défaut héritée. Le client remet son passeport, la réception effectue une lecture OCR ou NFC, et le PMS transmet les données à l'autorité de régulation. La conformité est assurée partout si l'équipe effectue réellement la soumission avant l'expiration du délai fixé par l'autorité de régulation. C'est lors de la saisie manuelle à la fin du service que la plupart des erreurs se produisent. La solution réside dans l'automatisation, et non dans la formation.

L'enregistrement entièrement numérique (sur borne ou par téléphone, sans interaction avec la réception) est conforme en Espagne, en Italie, en France, au Portugal et dans les six Länder allemands utilisant l'e-Meldeschein. Il n'est pas conforme dans les dix autres Länder allemands pour les clients non allemands. Les hôtels proposant un service national d’enregistrement numérique doivent prévoir un processus de secours dans les établissements situés dans les Länder où l’enregistrement doit être effectué sur papier. La même mise en garde s’applique à l’enregistrement numérique pour les séjours de moins de 24 heures en Italie, où le délai de 6 heures est plus strict que le délai par défaut de 24 heures.

Sanctions, audits et ce à quoi les hôtels sont réellement confrontés

Les fourchettes d'amendes les plus importantes (Espagne : 100 à 100 000 euros, Italie : 110 à 1 032 euros par infraction, France : 1 500 à 3 000 euros par fiche, Allemagne : jusqu'à 1 000 EUR par infraction, Portugal : de 100 à 6 000 EUR) font la une. L'exposition réelle d'un hôtel indépendant de l'UE entre 2024 et 2025 s'est avérée plus modérée et plus cumulative.

Le ministère espagnol de l’Intérieur a prononcé en 2024 environ 1 400 sanctions en vertu du décret royal 933/2021, avec une amende médiane de 800 euros par établissement et une amende du quartile supérieur de 4 200 euros. La plus forte amende infligée à un seul établissement de l'échantillon s'élevait à 51 300 euros (un groupe de cinq établissements ayant omis de transmettre des données pendant 14 mois et ayant omis de signaler la relation parentale concernant des mineurs). En 2024, la Polizia di Stato italienne a infligé environ 5 000 amendes au titre de l'article 109, avec une médiane de 240 euros par logement et un quartile supérieur de 1 650 euros. Les préfectures françaises ont infligé environ 2 800 contraventions en 2024, principalement à Paris, sur la Côte d'Azur, à Lyon, à Bordeaux et à Strasbourg, avec une médiane de 600 euros par établissement. En Allemagne, les montants des Bußgeld varient selon les Länder, mais la médiane inter-Länder s'élevait à 380 euros par établissement parmi les hôtels inspectés. Au Portugal, le volume de dossiers traités par l'AIMA est encore en phase de normalisation après la passation de pouvoirs ; les chiffres partiels de 2024 indiquaient une amende médiane de 480 euros par établissement parmi les hôtels inspectés.

Le coût non financier dépasse largement le montant de l'amende dans environ 30 % des cas. Un hôtel qui échoue à une inspection se retrouve sur un calendrier de réinspection (généralement 6 mois plus tard, avec un nouvel audit sur place de 1 à 2 jours), est signalé dans la base de données d'application de la réglementation pour le prochain cycle d'inspection et (en Espagne et en Italie) peut voir ses licences concernées réexaminées. Le coût caché le plus important en 2025 était le temps de travail consacré par le personnel à la préparation d’une réinspection : en moyenne, chaque établissement a mobilisé entre 60 et 120 heures de travail de l’équipe opérationnelle et entre 40 et 80 heures de travail de la réception au cours de la période de réinspection de 6 mois.

La bonne stratégie défensive est la même quel que soit le régime : transmission automatisée au sein du PMS, file d’attente de rapprochement quotidienne, piste d’audit de 90 jours à chaque réception, contrôle de conformité trimestriel et relation avec le bureau local de l’autorité de régulation qui soit professionnelle plutôt que réactive. Rien de tout cela n’est extraordinaire. La plupart des indépendants ne l’ont tout simplement pas mis en place.

Le rôle de Prostay, en bref et en toute honnêteté

J'écris pour Prostay, cette section est donc inévitable, mais je vais être honnête à ce sujet. Le PMS Prostay capture les champs requis par l'autorité de régulation une seule fois lors de la réservation ou de l'enregistrement, les normalise en un dossier client canonique, puis les transmet à SES Hospedajes, Alloggiati Web, SIBAplus et les différents flux de Meldeschein au niveau régional selon le calendrier de chaque régime, avec un rapport de rapprochement quotidien et une piste d'audit prête pour les inspections. Rien de tout cela n’est propre à Prostay. Mews, Cloudbeds, Profitroom, Apaleo, RoomRaccoon et plusieurs fournisseurs régionaux proposent une solution similaire, et n’importe lequel d’entre eux permettra à un hôtel indépendant d’atteindre une conformité irréprochable en l’espace de 14 jours.

L'argument en faveur de Prostay en particulier est que le système est préconfiguré pour les cinq principaux régimes (certains fournisseurs ne couvrent que leur marché national), que la pile de tokenisation conforme à la norme PCI résout le problème de blocage des paiements SES en un seul choix architectural, et que l'intégration avec le moteur de réservation et le gestionnaire de canaux boucle la boucle de capture avant l'arrivée sans intégration supplémentaire. Si vous souhaitez plus de détails, la présentation du PMS Prostay passe en revue les modules d'enregistrement et de reporting, et notre article précédent sur la norme PCI DSS 4.0 pour les hôtels couvre l'aspect des données de paiement. Si vous souhaitez bénéficier de l'aide de notre équipe pour mettre en œuvre le plan de 14 jours sur un établissement en activité, réservez une démonstration et nous passerons en revue les réglementations applicables à votre pays, sans vous proposer de services de conseil en conformité supplémentaires.

Foire aux questions

Les cinq questions que les hôteliers indépendants posent le plus souvent au sujet des régimes européens d'enregistrement des clients, auxquelles nous répondons en nous basant sur les règles publiées plutôt que sur le résumé de la presse spécialisée.

FAQ

Questions fréquentes

  • Tous les pays européens obligent-ils les hôtels à communiquer les données de leurs clients à la police ?
    Non. Les cinq régimes qui mobilisent le plus de temps opérationnel pour les hôtels indépendants sont l'Espagne (SES Hospedajes en vertu du décret royal 933/2021, obligatoire depuis le 2 octobre 2024, transmission dans les 24 heures suivant l'enregistrement, conservation des données pendant 3 ans), l'Italie (Alloggiati Web en vertu de l'article 109 de la loi consolidée sur la sécurité publique TULPS, transmission dans les 24 heures suivant l'enregistrement ou dans les 6 heures pour les séjours de moins de 24 heures), la France (la fiche individuelle de police en vertu de l’article R611-42 du Code du tourisme, obligatoire uniquement pour les clients non ressortissants de l’EEE et non suisses, conservée sur place pendant 6 mois), l’Allemagne (l’Hotelmeldeschein en vertu des articles 29 à 30 de la Bundesmeldegesetz, une signature manuscrite étant toujours requise pour les clients non allemands, conservée pendant 1 an puis détruite), et le Portugal (le boletim de alojamento transmis via SIBAplus à l’AIMA dans les 3 jours ouvrables, obligatoire uniquement pour les ressortissants étrangers). La Grèce, l’Autriche, la Suisse, la République tchèque et la Croatie appliquent leurs propres régimes distincts, avec des champs moins nombreux et des délais plus longs. Il n’existe pas de portail paneuropéen ni d’API harmonisée.
  • Mon moteur de réservation doit-il inclure les champs relatifs au rapport de police, ou puis-je les recueillir lors de l'enregistrement ?
    Les deux solutions conviennent à la plupart des régimes, à une réserve importante près. Le décret royal espagnol 933/2021 exige que les données relatives au mode de paiement (titulaire du compte, IBAN ou quatre derniers chiffres de la carte, date de la transaction) figurent dans le dossier SES Hospedajes, ce qui signifie qu'une collecte sur papier ou par e-mail à la réception oblige l'auditeur de nuit à rechercher ces données a posteriori. La saisie avant l'arrivée dans le moteur de réservation ou un lien d'enregistrement envoyé le jour de l'arrivée constitue le flux de travail qui permet réellement de boucler la journée de 24 heures sans heures supplémentaires. Le système italien Alloggiati Web ne nécessite que des champs d'identité et peut être rempli lors de l'enregistrement, ce qui explique pourquoi la plupart des hôtels indépendants italiens utilisent encore une schedina papier qu'ils saisissent dans le portail le soir. La France et l'Allemagne autorisent la saisie avant l'arrivée et de nombreux établissements utilisent une fiche numérique ou un lien vers le Meldeschein la veille de l'arrivée, mais l'Allemagne exige toujours une signature physique pour les non-Allemands, ce qu'un processus entièrement numérique ne peut pas satisfaire dans la plupart des Länder tant que le déploiement du BMG e-Meldeschein n'est pas achevé.
  • Que se passe-t-il si je rate la fenêtre de diffusion de 24 heures de SES Hospedajes en Espagne ?
    Le décret RD 933/2021 classe les infractions en trois catégories : « leves » (mineures), « graves » (graves) ou « muy graves » (très graves). Une transmission tardive ou incomplète est généralement considérée comme une infraction « leve », passible d'une amende comprise entre 100 et 600 euros par infraction, pouvant passer à la catégorie « grave » (de 601 à 30 000 euros) en cas de manquements répétés ou de transmissions omettant des champs obligatoires, et en infraction «muy grave» en cas de non-conformité systématique, avec des amendes cumulées dépassant 50 000 euros lors d’inspections menées début 2025 dans un même établissement. La plateforme du ministère de l’Intérieur appose un horodatage côté serveur sur chaque soumission ; un hôtel ne peut donc pas justifier une soumission tardive en l’antidatant. La bonne stratégie de défense consiste à automatiser la transmission au sein du PMS au moment de l'enregistrement, avec une file d'attente et un mécanisme de nouvelle tentative en cas de défaillances API temporaires, ainsi qu'un rapport de rapprochement quotidien qui met en évidence tout enregistrement rejeté par la plateforme.
  • Une location de vacances en Italie peut-elle utiliser Alloggiati Web ?
    Oui, et cette obligation est en vigueur depuis 2018. L'article 109 du TULPS s'applique aux locations de vacances, aux chambres d'hôtes, aux gîtes ruraux, aux auberges de jeunesse et à tout établissement proposant un hébergement payant. L'hôte s'enregistre auprès de la Questura (préfecture de police) locale pour obtenir ses identifiants Alloggiati Web, puis transmet les données des clients dans les 24 heures suivant l'enregistrement (ou dans les 6 heures pour les séjours de moins de 24 heures, ce qui couvre la plupart des locations de courte durée). Le CIN (Codice Identificativo Nazionale) régional italien, introduit en 2024 et obligatoire sur le plan opérationnel à compter du 1er janvier 2025, est un registre distinct qui s'ajoute à Alloggiati Web, et non un remplacement : le CIN identifie le logement auprès du registre touristique, tandis qu'Alloggiati Web identifie les clients auprès de la police.
  • Est-il légal de conserver une copie du scan du passeport d'un client pour prouver que j'ai vérifié son identité ?
    En vertu du RGPD (règlement 2016/679) et de la plupart des transpositions nationales, un hôtel peut collecter les données d'identité nécessaires pour se conformer à une obligation légale (le régime de déclaration à la police en question), mais la conservation d'une copie numérisée intégrale du passeport est généralement disproportionnée lorsque ce régime n'exige que les champs obligatoires, et non l'image elle-même. L'AEPD (autorité de protection des données) espagnole a publié en 2024 des lignes directrices explicites indiquant que les hôtels opérant sous le RD 933/2021 devaient saisir les champs requis plutôt que de conserver des copies du document lui-même, sauf dans des circonstances très limitées. La CNIL française adopte la même position. Le BMG allemand autorise également l'inspection visuelle plutôt que la conservation. La pratique préventive consiste à : numériser ou lire le document via NFC, extraire les champs requis par le régime, les transmettre à l'autorité de contrôle et ne conserver que ces champs (chiffrés au repos) pendant la durée de conservation spécifiée par le régime. L'image elle-même doit être supprimée une fois les champs validés, sauf dans les régimes qui exigent explicitement la conservation de l'image du document, ce qui n'est le cas ni en Espagne, ni en Italie, ni en France, ni en Allemagne, ni au Portugal.
À lire ensuite

Essayer Prostay

Gérez votre hôtel avec la plateforme dont nous parlons dans nos articles.

Importez vos données et les habitudes de votre équipe. Nous vous montrerons une configuration Prostay équivalente sur vos 30 derniers jours d'activité.

Demander une démoDécouvrir le PMS

À propos de cet article

Catégorie: Hotel Operations Optimization. Publié le 12 juin 2026 par Mika Takahashi.