Juridique
5 mars 2026
8 min

RGPD et location saisonnière : guide pour les propriétaires

Comment respecter le RGPD dans la gestion de vos locations saisonnières : données personnelles, consentement, durée de conservation et droits des voyageurs.

Le RGPD s'applique-t-il aux locations saisonnières ?

Oui. Dès lors que vous collectez, stockez ou traitez des données personnelles de vos voyageurs, vous êtes soumis au Règlement Général sur la Protection des Données (RGPD), en vigueur dans l'Union européenne depuis le 25 mai 2018.

Et vous collectez plus de données que vous ne le pensez : nom, prénom, email, téléphone, adresse, pièce d'identité, numéro de carte bancaire (via la plateforme de réservation), dates de séjour, nombre d'occupants. Toutes ces informations sont des données personnelles au sens du RGPD.

Au Maroc, la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, supervisée par la CNDP (Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel), impose des obligations similaires.

Quelles données collectez-vous ?

Voici un inventaire type des données personnelles collectées dans le cadre d'une location saisonnière :

Données d'identification

  • Nom et prénom
  • Date et lieu de naissance
  • Nationalité
  • Numéro de pièce d'identité (CIN, passeport)
  • Photo de la pièce d'identité (recto/verso)

Données de contact

  • Adresse email
  • Numéro de téléphone
  • Adresse postale

Données de réservation

  • Dates d'arrivée et de départ
  • Nombre d'occupants
  • Montant payé
  • Plateforme de réservation d'origine

Données techniques

  • Adresse IP lors de la signature du contrat
  • Navigateur et appareil utilisé
  • Horodatage des actions

Données financières

  • Montant de la caution
  • Coordonnées bancaires (si paiement direct)

Les principes du RGPD appliqués à la location

1. Licéité du traitement

Vous devez avoir une base légale pour traiter les données de vos voyageurs. Dans le cas de la location saisonnière, plusieurs bases s'appliquent :

  • L'exécution du contrat : les données nécessaires à la réservation et au séjour (identité, contact, dates) sont traitées dans le cadre du contrat de location.
  • L'obligation légale : le registre des voyageurs est une obligation imposée par la loi. Vous êtes tenu de collecter certaines données et de les communiquer aux autorités.
  • L'intérêt légitime : la capture de la pièce d'identité pour prévenir les fraudes et protéger votre bien peut relever de votre intérêt légitime.

2. Minimisation des données

Ne collectez que les données strictement nécessaires. Par exemple :

  • Vous avez besoin du nom et du prénom — pas du nom de jeune fille
  • Vous avez besoin du numéro de passeport — pas du numéro de sécurité sociale
  • Vous avez besoin d'un email de contact — pas de l'email professionnel ET personnel

3. Limitation de la conservation

Les données ne doivent pas être conservées au-delà de la durée nécessaire :

Type de donnéesDurée de conservation recommandée
Contrat signé5 ans (prescription civile en France)
Pièce d'identitéDurée du séjour + 6 mois maximum
Registre des voyageurs6 mois (obligation légale France)
Données de réservation5 ans (obligations comptables)
Données de cautionJusqu'à restitution + 1 mois

4. Sécurité des données

Vous êtes responsable de la sécurité des données personnelles que vous détenez. Cela implique :

  • Chiffrement : les données stockées numériquement doivent être chiffrées (AES-256 minimum)
  • Contrôle d'accès : seules les personnes habilitées doivent pouvoir accéder aux données
  • Sauvegardes : les données doivent être sauvegardées régulièrement
  • Suppression sécurisée : lorsque les données ne sont plus nécessaires, elles doivent être supprimées de manière irréversible

5. Transparence

Le voyageur doit être informé de :

  • Quelles données vous collectez
  • Pourquoi vous les collectez (finalité)
  • Combien de temps vous les conservez
  • Avec qui vous les partagez (plateformes, autorités)
  • Comment exercer ses droits (accès, rectification, suppression)

Cette information doit être claire, accessible et compréhensible. En pratique, vous pouvez l'inclure dans :

  • Le contrat de location (clause de confidentialité)
  • Votre politique de confidentialité en ligne
  • L'email de confirmation de réservation

Les droits des voyageurs

Le RGPD accorde aux voyageurs plusieurs droits sur leurs données :

Droit d'accès

Le voyageur peut vous demander quelles données vous détenez sur lui. Vous devez répondre dans un délai d'un mois.

Droit de rectification

Si des données sont inexactes, le voyageur peut demander leur correction.

Droit à l'effacement

Le voyageur peut demander la suppression de ses données, sauf si vous avez une obligation légale de les conserver (registre des voyageurs, obligations comptables).

Droit à la portabilité

Le voyageur peut demander à recevoir ses données dans un format structuré et lisible par machine.

Droit d'opposition

Le voyageur peut s'opposer au traitement de ses données à des fins de marketing direct.

Cas pratiques

Partager des données avec une plateforme de réservation

Lorsque vous recevez une réservation via Airbnb, Booking.com ou une autre plateforme, les données du voyageur transitent par cette plateforme. Vous êtes co-responsable du traitement avec la plateforme. Assurez-vous que la plateforme respecte le RGPD (ce qui est le cas des grandes plateformes).

Envoyer les données au registre de police

L'envoi des fiches de police est une obligation légale. Vous n'avez pas besoin du consentement du voyageur pour cette finalité. En revanche, vous devez l'informer que ses données seront communiquées aux autorités.

Conserver les pièces d'identité

La conservation des copies de pièces d'identité est un sujet sensible. La CNIL (France) recommande de ne les conserver que le temps strictement nécessaire — en pratique, la durée du séjour plus un délai raisonnable pour les besoins d'un éventuel litige. Au-delà, elles doivent être supprimées.

Utiliser un outil tiers pour le check-in

Si vous utilisez un outil comme StaySign pour gérer vos contrats et check-ins, cet outil est votre sous-traitant au sens du RGPD. Vous devez vous assurer qu'il :

  • Offre des garanties suffisantes en matière de protection des données
  • Ne traite les données que sur vos instructions
  • Vous assiste dans l'exercice des droits des personnes concernées
  • Supprime les données à la fin de la prestation

Les sanctions en cas de non-conformité

Le non-respect des règles de protection des données personnelles expose les propriétaires et gestionnaires de locations saisonnières à des sanctions financières lourdes. Que vous opériez en France ou au Maroc, les autorités de contrôle disposent de pouvoirs coercitifs importants.

Les sanctions de la CNIL en France

En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité compétente pour contrôler le respect du RGPD. Les sanctions peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un propriétaire individuel, les amendes se situent généralement entre 5 000 et 100 000 euros selon la gravité des manquements. La CNIL peut également prononcer des injonctions de mise en conformité, des astreintes journalières, ou ordonner la suspension du traitement des données.

En 2023, la CNIL a sanctionné un gestionnaire immobilier à hauteur de 75 000 euros pour avoir conservé des copies de pièces d'identité de locataires au-delà de la durée nécessaire et sans base légale suffisante. En 2024, un hébergeur touristique a reçu une amende de 50 000 euros pour l'absence de politique de confidentialité et le partage non autorisé de données clients avec des partenaires commerciaux.

Les sanctions de la CNDP au Maroc

Au Maroc, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) veille au respect de la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les sanctions pénales prévues par cette loi sont sévères : des amendes de 10 000 à 300 000 dirhams et des peines d'emprisonnement de 3 mois à 2 ans. Le défaut de déclaration préalable auprès de la CNDP est en lui-même passible d'une amende de 10 000 à 100 000 dirhams.

La CNDP a intensifié ses contrôles dans le secteur touristique ces dernières années. Des établissements hôteliers et des plateformes de réservation ont été sanctionnés pour collecte excessive de données, absence de consentement éclairé et transfert non autorisé de données personnelles vers des serveurs situés hors du territoire marocain.

Les conséquences au-delà des amendes

Au-delà des sanctions financières, une violation de la protection des données peut entraîner des conséquences désastreuses pour votre activité. La perte de confiance des voyageurs est difficilement réparable : un avis négatif mentionnant une fuite de données personnelles peut ruiner votre réputation en ligne. Les plateformes de réservation (Airbnb, Booking) peuvent également suspendre votre compte si elles sont informées d'un manquement grave à la protection des données de leurs utilisateurs. Enfin, en cas de violation de données (data breach), vous avez l'obligation de notifier l'autorité de contrôle dans les 72 heures et d'informer les personnes concernées, ce qui génère un coût opérationnel et une charge administrative considérables.

Checklist RGPD pour les propriétaires

Voici une checklist pratique pour vous mettre en conformité :

  • [ ] Identifier toutes les données personnelles que vous collectez
  • [ ] Documenter la base légale de chaque traitement
  • [ ] Informer les voyageurs de vos pratiques (politique de confidentialité)
  • [ ] Ne collecter que les données nécessaires
  • [ ] Sécuriser le stockage des données (chiffrement, accès restreint)
  • [ ] Définir des durées de conservation et les respecter
  • [ ] Mettre en place une procédure pour répondre aux demandes d'exercice de droits
  • [ ] Vérifier la conformité de vos sous-traitants (plateformes, outils)
  • [ ] Tenir un registre des traitements (obligatoire si plus de 250 salariés, recommandé pour tous)

Conclusion

Le RGPD n'est pas un obstacle à la gestion de vos locations saisonnières — c'est un cadre qui vous pousse à adopter de bonnes pratiques. En traitant les données de vos voyageurs avec soin, vous renforcez leur confiance et vous protégez contre les risques juridiques. Les outils modernes de gestion locative intègrent nativement la conformité RGPD, ce qui simplifie considérablement votre mise en conformité.

Automatisez vos contrats de location saisonnière

StaySign génère, envoie et fait signer vos contrats automatiquement. Conforme eIDAS et loi 53-05. Essai gratuit 14 jours.

Essayer gratuitement
Article précédentConciergerie Airbnb : comment automatiser la gestion des contratsArticle suivant Check-in en ligne pour location saisonnière : guide pratique