Les établissements touristiques doivent enregistrer l’identité de leurs hôtes, mais jusqu’où va cette obligation ? Un hôtel peut-il photocopier la carte d’identité ou le passeport d’un client ? L’Agence Espagnole de Protection des Données (AEPD) a publié cette semaine une note clarificatrice qui répond à l’une des questions les plus fréquemment posées dans le secteur, en mettant l’accent sur l’équilibre entre la sécurité publique et la protection des données personnelles.
Cette clarification s’inscrit dans le cadre de l’application du Décret Royal 933/2021, qui impose des obligations documentaires à ceux qui gèrent des hébergements ou louent des véhicules à moteur, qu’il s’agisse d’entreprises ou de particuliers.
Cette réglementation affecte-t-elle les locations de vacances ou les logements touristiques ?
Le décret s’applique également aux particuliers ou aux entreprises qui gèrent des locations de courte durée, y compris les logements touristiques et les plateformes comme Airbnb. Ces opérateurs doivent se conformer aux mêmes obligations d’enregistrement et d’information, même s’ils n’exercent pas l’activité de manière professionnelle.
Est-il permis de demander une copie de la carte d’identité dans un hébergement touristique ?
Demander une copie de la pièce d’identité n’est pas seulement inutile, mais viole également le principe de minimisation des données énoncé à l’article 5.1.c) du Règlement Général sur la Protection des Données (RGPD). Les hébergements doivent collecter les données indispensables pour se conformer à la loi, et une numérisation de la carte d’identité dépasse largement ce seuil.
En plus de l’excès d’informations (photo, date d’expiration, numéro CAN ou même le nom des parents), conserver une copie du document implique des risques supplémentaires tels que des utilisations abusives potentielles ou des usurpations d’identité.
Quelles données le Décret Royal 933/2021 exige-t-il lors de l’enregistrement des hôtes ?
La norme ne prévoit pas de copies de documents, mais établit l’obligation de collecter certaines données d’identification avant que l’hôte n’accède à l’hébergement. Les champs spécifiques sont repris dans l’Annexe I, sections A.3 et B.3.
Le but n’est autre que de fournir aux Forces et Corps de Sécurité de l’État une traçabilité des utilisateurs, dans un contexte où l’hébergement fait partie du modus operandi de certaines formes de criminalité organisée.
Comment les données des hôtes doivent-elles être collectées ?
Dans le cas où le check-in est effectué physiquement, l’AEPD considère qu’il suffit que l’hôte présente sa pièce d’identité pour vérifier visuellement que les données fournies dans le formulaire correspondent. Il n’est pas nécessaire de la scanner ni de la conserver, ce qui allège également la charge administrative de l’établissement.
Lorsque la réservation ou l’enregistrement est effectué en ligne, la vérification de l’identité peut se faire au moyen d’outils technologiques également valables, tels que des certificats numériques, la validation des données avec le mode de paiement ou l’envoi de codes de sécurité au téléphone ou à l’adresse e-mail fournie par l’utilisateur. Ces alternatives permettent de se conformer à la réglementation en matière de sécurité sans compromettre le droit à la vie privée.
Existe-t-il d’autres méthodes valables pour vérifier l’identité de l’hôte ?
L’AEPD elle-même reconnaît qu’il pourrait exister d’autres mécanismes également licites, à condition que celui qui les applique réalise une évaluation préalable de l’impact sur la protection des données et s’assure que les principes énoncés dans le RGPD sont respectés, transférant ainsi la responsabilité aux hébergements, qui doivent faire preuve de diligence lors de l’introduction de nouvelles procédures, en particulier s’ils automatisent des processus au moyen d’intelligence artificielle ou d’outils externes.
Pourquoi est-il acceptable de montrer sa carte d’identité et non d’en remettre une copie ?
Montrer sa carte d’identité permet une vérification ponctuelle et non intrusive, tandis que remettre une copie génère un traitement complet du document, de sorte que seule la première option est compatible, en termes généraux, avec le RGPD et avec l’interprétation de l’AEPD.
Obligations des hébergements
Cette interprétation de l’AEPD exige un changement d’approche. Il ne s’agit pas seulement de modifier des formulaires. Tant les professionnels du secteur touristique que les particuliers qui louent leurs logements pendant de courtes périodes doivent revoir leurs protocoles de collecte de données, mettre à jour leurs politiques de confidentialité et former le personnel aux nouveaux critères de traitement de l’information.
Comment se conformer à la réglementation ?
La solution réside dans la proportionnalité et dans la conception d’un processus adapté :
- Conserver les données uniquement pendant le délai légal de 3 ans, comme l’indique l’article 5.3 du Décret Royal 933/2021.
- Garantir la sécurité du stockage et de l’envoi de l’information.
- Utiliser un formulaire contenant uniquement les données exigées à l’Annexe I.
- Vérifier ces données en visualisant la carte d’identité, sans en faire de copie.
- Appliquer des politiques internes de protection des données.
La confidentialité et la sécurité peuvent (et doivent) aller de pair. Le respect des réglementations n’est pas une option, mais une responsabilité incontournable. Des hôtels aux particuliers, tous les opérateurs sont appelés à s’adapter à une législation de plus en plus exigeante en matière de protection des données.
