Demander une photocopie de la carte d’identité dans les hôtels et hébergements touristiques: une erreur juridique qui peut coûter très cher

Une récente amende de 75 000 euros infligée par l’Agence espagnole de protection des données (AEPD) à une PME de Barcelone a tiré la sonnette d’alarme dans le secteur touristique. La raison : exiger des photos de la carte d’identité et des selfies des voyageurs qui réservaient leurs appartements via Airbnb, sous prétexte de se conformer à la réglementation du Registre des Voyageurs.

À ce sujet, l’AEPD a été très claire : ni la loi n’exige ces images, ni le RGPD ne les autorise. C’est pourquoi toutes les entreprises qui gèrent des établissements touristiques doivent en prendre note afin d’éviter des sanctions et de garantir la sécurité des données de leurs clients.

L’entreprise sanctionnée exigeait de ses clients des photos de leur carte d’identité (recto et verso) ainsi qu’un selfie comme condition d’accès au logement. Elle affirmait qu’il s’agissait d’une obligation légale liée au Registre des Voyageurs, mais l’AEPD a rejeté cet argument : la législation n’impose pas de collecter des images de la carte d’identité, et il est interdit de recueillir plus de données personnelles que ce qui est strictement nécessaire.

En outre, l’entreprise ne fournissait pas d’informations claires sur le traitement de ces données : ni l’identité du responsable, ni la finalité, ni la durée de conservation, ni les droits des utilisateurs. Résultat : deux infractions graves au Règlement général sur la protection des données (RGPD), sanctionnées par des amendes de 25 000 € et 50 000 € respectivement.

La réglementation du nouveau Registre des Voyageurs, approuvée par le Décret royal 933/2021 et en vigueur depuis le 2 décembre 2024, élargit les obligations déjà prévues par l’ancienne Ordonnance INT/1922/2003, qui régulait l’enregistrement des voyageurs dans les hébergements traditionnels. Avec cette nouvelle norme, l’obligation d’enregistrer et de communiquer les données des utilisateurs s’étend non seulement aux prestataires directs de services d’hébergement ou de location de véhicules, mais aussi aux plateformes numériques et aux opérateurs touristiques agissant comme intermédiaires, tels qu’Airbnb, Booking ou Expedia.

Ce changement répond à l’évolution du secteur touristique et du commerce électronique. Aujourd’hui, de nombreuses entreprises mettent en relation des voyageurs avec des hébergements sans fournir directement le service. C’est pourquoi le nouveau cadre juridique précise que toute entité intervenant dans une réservation et collectant des données personnelles pourrait être soumise à ces obligations.

Oui, la loi oblige les établissements d’hébergement (hôtels, resorts, auberges, campings, etc.) à identifier tous leurs clients.

Depuis fin 2023, le Décret royal 933/2021 impose l’obligation d’enregistrer les voyageurs séjournant dans des établissements touristiques, tels que les hôtels, appartements ou maisons rurales. Cet enregistrement doit être transmis aux forces de sécurité de l’État via une plateforme numérique.

Seules les données d’identification suivantes doivent être collectées :

• Nom et prénom
• Type et numéro du document d’identité
• Date de naissance
• Nationalité
• Date d’arrivée (et de départ, si applicable)
• Code ou numéro de l’hébergement
• Moyen de transport utilisé (dans certains cas)

En aucun cas il n’est obligatoire ni recommandé de demander des photos de la carte d’identité, des selfies ou toute autre donnée biométrique.

Cela constituerait une violation du principe de minimisation des données du RGPD (art. 5.1.c), qui oblige à ne collecter que les données nécessaires à la finalité prévue. De plus, l’entreprise commettrait une infraction si elle n’informe pas correctement les utilisateurs sur le traitement de ces données.

Oui, à condition qu’elles respectent les principes du RGPD : proportionnalité, sécurité et transparence. Les outils d’enregistrement numérique ne peuvent pas exiger plus d’informations que nécessaire, ni utiliser les données à des fins secondaires (comme l’envoi de publicité) sans consentement explicite.

Si vous devez un jour envoyer une copie numérique de votre carte d’identité, faites-le avec précaution. La Police nationale déconseille de partager des images complètes et fidèles du document, car elles peuvent être utilisées pour des fraudes ou des usurpations d’identité. Une pratique sûre consiste à pixeliser les données sensibles (comme l’adresse, la signature ou le code de support) en ne laissant visibles que celles strictement nécessaires. Vous pouvez également ajouter un texte sur l’image indiquant la raison de l’envoi et la date, ce qui complique sa réutilisation abusive.

N’oubliez pas que plus de 53 % de la population a été victime d’une forme de fraude en ligne au cours de l’année écoulée, selon le CIS. C’est pourquoi, chaque fois que vous partagez votre carte d’identité, faites-le via des canaux sécurisés et uniquement lorsque c’est indispensable. N’acceptez jamais de l’envoyer sans garanties ni justification légale claire.

Le respect de la réglementation n’est pas seulement une obligation légale, c’est aussi un outil clé pour protéger la confiance et la réputation de votre entreprise. Demander des données inutiles ou ne pas informer correctement sur leur traitement peut entraîner des amendes élevées et des dommages réputationnels difficiles à réparer.

Chez CINC Asesoría, nous disposons d’une équipe spécialisée en protection des données et conformité réglementaire qui peut vous aider à adapter votre activité touristique au RGPD et à la réglementation du Registre des Voyageurs. Si vous avez des questions sur la bonne application du Décret royal 933/2021 ou sur les données que vous pouvez légalement demander, contactez-nous et nous vous conseillerons sans engagement.