ALaCarte.Direct ALaCarte.Direct
FR DE EN ES HI
Réglementation CHR

Déclaration CNIL Données Clients Restaurant

20 min de lecture
47 vues
Déclaration CNIL Données Clients Restaurant
Sommaire

Voici l'article complet :

Vous collectez les adresses e-mail de vos clients pour votre newsletter, vous enregistrez des numéros de téléphone pour les réservations, vous conservez un historique d'achats de cartes cadeaux — et pourtant, vous n'avez jamais vérifié si votre restaurant était en conformité avec la CNIL ? Vous n'êtes pas seul. La majorité des restaurateurs indépendants en France manipulent quotidiennement des données personnelles sans en mesurer pleinement les implications juridiques. Or, depuis l'entrée en vigueur du RGPD en 2018, les obligations se sont considérablement renforcées, et la CNIL (Commission Nationale de l'Informatique et des Libertés) contrôle activement tous les secteurs — restauration comprise. Cet enjeu n'est pas réservé aux grandes chaînes : un restaurant de quartier avec un simple fichier Excel de clients est déjà concerné. Voici tout ce que vous devez savoir pour mettre votre établissement en conformité, sans jargon inutile et avec des actions concrètes.

CNIL restaurant : pourquoi êtes-vous concerné en tant que restaurateur ?

Beaucoup de restaurateurs pensent que la réglementation CNIL ne concerne que les géants du numérique ou les grandes enseignes. C'est faux. Dès lors que vous collectez, stockez ou utilisez des informations permettant d'identifier une personne physique, vous êtes soumis au RGPD et aux règles de la CNIL.

Quelles données personnelles collectez-vous sans forcément le savoir ?

Faisons le tour des situations concrètes dans un restaurant indépendant :

  • Réservations : nom, prénom, numéro de téléphone, adresse e-mail, nombre de convives, parfois des mentions d'allergies alimentaires (donnée de santé, donc sensible)
  • Cartes de fidélité : identité du client, historique de visites, préférences alimentaires
  • Commandes en ligne : adresse de livraison, coordonnées bancaires (via le prestataire de paiement), historique de commandes
  • Wi-Fi gratuit : adresse MAC, données de navigation si le portail captif enregistre des logs
  • Vidéosurveillance : images des clients et du personnel, horodatage
  • Avis en ligne : quand vous répondez à un avis Google en citant des détails de la visite du client
  • Cartes cadeaux : nom de l'acheteur, nom du bénéficiaire, montant, date d'utilisation
  • Fichier de contacts fournisseurs : noms et coordonnées de vos interlocuteurs commerciaux

Chacun de ces cas constitue un traitement de données personnelles au sens du RGPD. Et chaque traitement doit être documenté, justifié et encadré. Si vous proposez des cartes cadeaux dans votre restaurant, vous collectez nécessairement des données sur l'acheteur et le bénéficiaire — un traitement à ne pas négliger.

Les idées reçues qui mettent les restaurateurs en danger

"Je n'ai pas de site internet, donc je ne suis pas concerné." Faux. Un cahier de réservation numérique, un fichier Excel de clients réguliers ou même un groupe WhatsApp avec vos clients suffisent.

"Mes données sont sur papier, le RGPD ne s'applique pas." Partiellement faux. Le RGPD s'applique aux traitements automatisés, mais aussi aux fichiers structurés sur papier (un répertoire alphabétique de clients, par exemple). La CNIL peut contrôler un fichier papier organisé.

"Je suis trop petit pour être contrôlé." La CNIL a clairement indiqué qu'elle effectue des contrôles sur des structures de toutes tailles. Les plaintes de clients ou d'anciens employés peuvent déclencher un contrôle, quelle que soit la taille de votre établissement.

Comprendre le RGPD restaurant : les principes fondamentaux

Le Règlement Général sur la Protection des Données repose sur des principes clairs que tout restaurateur doit connaître. Pas besoin d'être juriste : ces principes relèvent du bon sens une fois expliqués.

Les 6 principes du RGPD appliqués à la restauration

1. Licéité, loyauté et transparence. Vous devez avoir une raison légale pour collecter des données, et le client doit le savoir. Quand un client vous donne son e-mail pour une réservation, il ne vous autorise pas pour autant à lui envoyer des promotions chaque semaine.

2. Limitation des finalités. Les données collectées pour une réservation ne doivent servir qu'à gérer cette réservation, sauf si le client a consenti explicitement à un autre usage (newsletter, fidélité, etc.).

3. Minimisation des données. Ne collectez que ce dont vous avez réellement besoin. Pour une réservation, vous n'avez pas besoin de la date de naissance du client ni de son adresse postale.

4. Exactitude. Les données doivent être à jour. Un fichier de clients jamais nettoyé avec des adresses e-mail obsolètes pose un problème de conformité.

5. Limitation de conservation. Vous ne pouvez pas conserver les données indéfiniment. Chaque type de donnée a une durée de conservation maximale (nous y reviendrons en détail).

6. Intégrité et confidentialité. Les données doivent être protégées contre les accès non autorisés. Un fichier Excel de clients sur un ordinateur partagé sans mot de passe, c'est une faille.

Les bases légales pour traiter des données en restauration

Le RGPD exige une base légale pour chaque traitement. En restauration, les plus courantes sont :

  • L'exécution d'un contrat : gérer une réservation, traiter une commande en ligne, honorer une carte cadeau. Le client vous donne ses données pour que vous exécutiez une prestation.
  • Le consentement : envoyer une newsletter, inscrire un client à un programme de fidélité, utiliser des cookies de tracking sur votre site. Le consentement doit être libre, spécifique, éclairé et univoque — pas une case pré-cochée.
  • L'intérêt légitime : la vidéosurveillance pour la sécurité de votre établissement, par exemple. Mais cet intérêt doit être mis en balance avec les droits des personnes filmées.
  • L'obligation légale : conservation de certaines données comptables et fiscales imposée par la loi.

Le registre des traitements : votre document de référence

Le registre des activités de traitement est la pierre angulaire de votre conformité RGPD. C'est un document qui recense tous les traitements de données personnelles que vous effectuez. La CNIL peut vous le demander à tout moment en cas de contrôle.

Ce que doit contenir votre registre

Pour chaque traitement, vous devez documenter :

  • La finalité : pourquoi collectez-vous ces données ? (ex. : gestion des réservations)
  • Les catégories de données : quelles données exactement ? (ex. : nom, téléphone, e-mail, nombre de convives)
  • Les catégories de personnes concernées : clients, employés, fournisseurs
  • Les destinataires : qui a accès aux données ? (ex. : le responsable de salle, le logiciel de réservation)
  • Les transferts hors UE : votre logiciel de réservation stocke-t-il les données aux États-Unis ?
  • Les durées de conservation : combien de temps gardez-vous les données ?
  • Les mesures de sécurité : mot de passe, chiffrement, accès restreint

Exemple concret de registre pour un restaurant

Voici à quoi pourrait ressembler une ligne de votre registre :

  • Traitement : Gestion des réservations
  • Finalité : Enregistrer et confirmer les réservations clients
  • Données collectées : Nom, prénom, téléphone, e-mail, date et heure de réservation, nombre de convives, allergies éventuelles
  • Base légale : Exécution du contrat (prestation de restauration)
  • Durée de conservation : 1 an après la dernière visite du client
  • Destinataires : Responsable de salle, logiciel de réservation [Nom du logiciel]
  • Mesures de sécurité : Accès par identifiant et mot de passe, hébergement en France/UE

La CNIL met à disposition un modèle de registre simplifié sur son site officiel (cnil.fr), adapté aux petites structures. Utilisez-le comme point de départ.

Données clients restaurant RGPD : les durées de conservation à respecter

L'une des erreurs les plus fréquentes en restauration : conserver des données « au cas où » pendant des années. Le RGPD impose une durée proportionnée à la finalité du traitement.

Durées recommandées par type de données

  • Données de réservation : jusqu'à 1 an après la dernière interaction avec le client. Au-delà, supprimez ou anonymisez.
  • Données de fidélité : 3 ans à compter du dernier contact actif (achat, connexion au compte). C'est la durée généralement retenue par la CNIL pour la prospection commerciale.
  • Données de commande en ligne : les données de la transaction peuvent être conservées à des fins comptables pendant 10 ans (obligation légale). Mais les données de navigation et de compte client suivent la règle des 3 ans d'inactivité.
  • Vidéosurveillance : 30 jours maximum, sauf incident nécessitant une conservation prolongée (vol, agression). C'est une règle stricte imposée par le Code de la sécurité intérieure.
  • Données de candidature (CV reçus) : 2 ans maximum après le dernier contact avec le candidat, avec son accord.
  • Cookies et traceurs : le consentement doit être renouvelé tous les 13 mois selon les lignes directrices de la CNIL.

Comment mettre en place une politique de purge

Concrètement, voici les étapes à suivre :

  1. Listez tous vos fichiers contenant des données personnelles (logiciels, tableurs, carnets)
  2. Attribuez une durée de conservation à chaque type de donnée
  3. Programmez des rappels trimestriels pour nettoyer vos bases
  4. Supprimez ou anonymisez les données dont la durée est dépassée
  5. Documentez chaque purge (date, volume supprimé, responsable)

Si vous utilisez un logiciel de réservation ou de gestion, vérifiez qu'il propose une fonctionnalité de suppression automatique ou d'archivage conforme.

Les droits de vos clients : comment y répondre concrètement

Le RGPD accorde aux personnes des droits sur leurs données. Vos clients peuvent les exercer à tout moment, et vous êtes tenu d'y répondre dans un délai d'un mois.

Les droits que vos clients peuvent exercer

  • Droit d'accès : « Quelles données avez-vous sur moi ? » Vous devez fournir une copie de toutes les données détenues sur cette personne.
  • Droit de rectification : « Mon numéro de téléphone a changé, mettez-le à jour. »
  • Droit à l'effacement (droit à l'oubli) : « Supprimez toutes mes données. » Vous devez obtempérer, sauf si une obligation légale impose la conservation (données comptables, par exemple).
  • Droit d'opposition : « Je ne veux plus recevoir vos e-mails promotionnels. » Le retrait du consentement doit être aussi simple que le consentement initial.
  • Droit à la portabilité : « Transmettez mes données à un autre prestataire dans un format lisible. »
  • Droit à la limitation du traitement : « Ne supprimez pas mes données, mais ne les utilisez plus jusqu'à ce que le litige soit résolu. »

Comment gérer une demande en pratique

Imaginez qu'un ancien client vous envoie un e-mail : « Je souhaite savoir quelles données personnelles vous détenez me concernant et demande leur suppression. »

Voici la marche à suivre :

  1. Vérifiez l'identité du demandeur — demandez une pièce d'identité si vous avez un doute raisonnable, mais ne soyez pas excessif
  2. Rassemblez toutes les données — logiciel de réservation, fichier de fidélité, newsletter, vidéosurveillance si applicable
  3. Répondez sous un mois — fournissez les données demandées et confirmez la suppression
  4. Documentez la demande — conservez une trace de la demande et de votre réponse (à des fins de preuve de conformité)
  5. Informez vos sous-traitants — si un logiciel tiers stocke des données du client, demandez-lui aussi la suppression

Quand vous gérez des avis en ligne de vos clients, attention à ne pas publier dans vos réponses des informations personnelles identifiantes (date exacte de visite, détails de commande) sans le consentement de la personne.

L'information des clients : transparence obligatoire

Le RGPD exige que vous informiez clairement les personnes de la collecte de leurs données, au moment où elle a lieu. Ce n'est pas une formalité : c'est un droit fondamental.

Les mentions d'information obligatoires

Chaque fois que vous collectez des données, vous devez communiquer :

  • L'identité et les coordonnées du responsable de traitement (vous ou votre société)
  • La finalité du traitement et sa base légale
  • Les destinataires des données
  • La durée de conservation
  • Les droits de la personne (accès, rectification, effacement, etc.)
  • Le droit d'introduire une réclamation auprès de la CNIL
  • Le caractère obligatoire ou facultatif de la collecte

Comment informer vos clients selon le canal

Sur votre site internet : une page « Politique de confidentialité » accessible depuis toutes les pages. Si vous avez un formulaire de réservation ou de contact, ajoutez une mention sous le formulaire avec un lien vers cette politique.

En salle (réservation par téléphone) : un affichage dans l'établissement (à l'accueil ou près de la caisse) informant de la collecte de données. La mention peut être concise et renvoyer vers votre politique complète en ligne ou disponible sur demande.

Pour le Wi-Fi : le portail captif (la page de connexion au Wi-Fi) doit afficher une mention d'information avant que le client ne se connecte.

Pour la vidéosurveillance : un panneau à l'entrée de l'établissement indiquant la présence de caméras, la finalité (sécurité), la durée de conservation (30 jours max) et les coordonnées du responsable pour exercer ses droits. C'est une obligation distincte prévue par le Code de la sécurité intérieure.

Pour les newsletters et e-mails promotionnels : un lien de désinscription dans chaque e-mail, et la preuve que le consentement a été recueilli (opt-in).

Vidéosurveillance dans votre restaurant : un cas particulier

La vidéosurveillance est un sujet sensible qui cumule plusieurs réglementations. En restauration, elle est fréquente pour prévenir les vols et sécuriser la caisse.

Les règles spécifiques à respecter

  • Autorisation préfectorale : si vos caméras filment des espaces accessibles au public (salle, terrasse, entrée), vous devez déposer une demande d'autorisation auprès de la préfecture
  • Déclaration CNIL : si vos caméras filment des espaces privés (réserve, cuisine non accessible au public), une inscription au registre des traitements suffit (plus besoin de déclaration préalable depuis le RGPD, mais le registre est obligatoire)
  • Durée de conservation : 30 jours maximum
  • Information des personnes : panneau visible à l'entrée
  • Pas de surveillance des employés : les caméras ne doivent pas filmer en permanence un poste de travail sauf justification particulière (manipulation d'espèces à la caisse, par exemple). Filmez la caisse, pas le caissier.
  • Pas de caméras dans les espaces de pause : vestiaires, toilettes, salles de repos sont strictement interdits

Les erreurs fréquentes en restauration

  • Caméras installées par le technicien « parce qu'il restait de la place sur l'enregistreur », sans analyse de la nécessité
  • Images conservées pendant des mois « au cas où »
  • Aucun panneau d'information à l'entrée
  • Accès aux images par tous les employés via une application mobile sans restriction

Sécuriser les données : mesures concrètes pour votre restaurant

La sécurité des données n'est pas qu'une affaire de grandes entreprises. Un restaurateur doit mettre en place des mesures adaptées à sa taille et à ses moyens.

Les mesures de base indispensables

Pour vos outils numériques :

  • Mots de passe robustes (12 caractères minimum, mélange de lettres, chiffres, caractères spéciaux) sur tous vos logiciels
  • Mots de passe différents pour chaque service
  • Activation de la double authentification quand elle est disponible
  • Mises à jour régulières de vos logiciels et systèmes d'exploitation
  • Antivirus à jour sur tous les postes
  • Sauvegardes régulières de vos données sur un support externe ou dans le cloud

Pour vos équipes :

  • Sensibiliser chaque employé manipulant des données clients (prise de réservation, gestion de caisse)
  • Créer des comptes individuels — pas de mot de passe partagé « resto2024 »
  • Limiter les accès : le serveur n'a pas besoin d'accéder au fichier comptable
  • Verrouiller les sessions quand on quitte le poste

Pour vos prestataires :

  • Vérifiez que vos logiciels (réservation, caisse, commande en ligne, programme de parrainage) hébergent les données en France ou dans l'UE
  • Signez un contrat de sous-traitance (article 28 du RGPD) avec chaque prestataire qui traite des données pour votre compte
  • Demandez-leur leur propre politique de sécurité

Que faire en cas de violation de données ?

Si vous constatez une fuite de données (piratage de votre logiciel de réservation, vol d'un ordinateur contenant des fichiers clients, envoi d'un fichier au mauvais destinataire), vous avez des obligations :

  • Notification à la CNIL sous 72 heures si la violation présente un risque pour les droits des personnes. La notification se fait en ligne sur le site de la CNIL.
  • Information des personnes concernées si le risque est élevé (données bancaires ou de santé compromises, par exemple).
  • Documentation interne de l'incident : nature de la violation, données concernées, mesures prises.

Ne sous-estimez pas ce point. Un vol de portable avec un fichier Excel non chiffré de 500 clients est une violation de données au sens du RGPD.

Les sanctions : ce que vous risquez concrètement

La CNIL dispose d'un arsenal de sanctions graduées. Pour un restaurateur indépendant, les montants théoriques maximaux du RGPD (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires) ne sont pas réalistes, mais des sanctions significatives existent.

L'échelle des sanctions

  1. Avertissement : la CNIL vous met en demeure de vous conformer dans un délai donné. C'est le cas le plus fréquent pour les petites structures lors d'un premier manquement.
  2. Mise en demeure publique : votre nom est publié sur le site de la CNIL. Pour un restaurant local, l'impact réputationnel peut être dévastateur.
  3. Amendes administratives : proportionnées à la taille de votre structure et à la gravité du manquement. Des amendes de quelques milliers d'euros ont déjà été prononcées contre des TPE/PME.
  4. Injonction de cesser le traitement : la CNIL peut vous interdire d'utiliser votre fichier clients. Imaginez ne plus pouvoir envoyer de newsletter ni gérer vos réservations numériquement.

Ce qui déclenche un contrôle

  • Une plainte d'un client : un client mécontent qui signale à la CNIL qu'il n'arrive pas à se désinscrire de votre newsletter
  • Une plainte d'un employé ou ancien employé : litige sur la vidéosurveillance ou l'accès à son dossier
  • Un contrôle sectoriel : la CNIL cible régulièrement des secteurs dans son programme annuel
  • Un signalement : un concurrent, un inspecteur d'hygiène qui constate une anomalie

Plan d'action : mettre votre restaurant en conformité CNIL en 7 étapes

Pas besoin de recruter un DPO (Délégué à la Protection des Données) quand on est un restaurant indépendant — ce n'est pas obligatoire pour les structures qui ne traitent pas de données à grande échelle. En revanche, vous devez pouvoir démontrer votre conformité. Voici un plan d'action concret.

Étape 1 : Cartographier vos traitements

Prenez une heure pour lister tous les endroits où vous collectez ou stockez des données personnelles. N'oubliez rien : le cahier de réservation, le logiciel de caisse, le fichier Excel, le groupe WhatsApp, les caméras, le Wi-Fi.

Étape 2 : Créer votre registre des traitements

Utilisez le modèle gratuit de la CNIL. Remplissez une fiche par traitement identifié à l'étape 1. Ce registre doit être mis à jour dès qu'un nouveau traitement est créé.

Étape 3 : Vérifier vos bases légales

Pour chaque traitement, identifiez la base légale : contrat, consentement, intérêt légitime ou obligation légale. Si vous envoyez des newsletters sans avoir recueilli de consentement explicite, corrigez immédiatement.

Étape 4 : Rédiger vos mentions d'information

Rédigez une politique de confidentialité pour votre site web et un affichage pour votre établissement. Des modèles gratuits existent sur le site de la CNIL.

Étape 5 : Mettre en place les durées de conservation

Définissez une durée pour chaque type de donnée. Programmez des rappels pour purger régulièrement vos bases. Si vous gérez aussi des événements d'entreprise récurrents, les données des contacts professionnels suivent les mêmes règles de durée de conservation.

Étape 6 : Sécuriser vos données

Appliquez les mesures de sécurité listées plus haut. Changez les mots de passe par défaut, activez la double authentification, vérifiez les contrats avec vos prestataires.

Étape 7 : Former votre équipe

Briefez votre personnel sur les règles essentielles : ne pas partager les mots de passe, ne pas laisser un écran déverrouillé, savoir rediriger une demande de droit d'accès vers vous. Cinq minutes en réunion d'équipe suffisent pour poser les bases.

Les outils et ressources pour vous aider

Vous n'avez pas besoin de tout faire seul. Plusieurs ressources gratuites existent :

  • Le site de la CNIL (cnil.fr) : guides, modèles de registre, fiches pratiques par secteur
  • Le MOOC de la CNIL : formation gratuite en ligne « L'atelier RGPD » — environ 4 heures, avec attestation
  • Les CCI (Chambres de Commerce et d'Industrie) : certaines proposent des ateliers RGPD pour les commerçants
  • Les syndicats professionnels (UMIH, GNI) : proposent souvent des guides sectoriels et un accompagnement juridique à leurs adhérents
  • Des solutions SaaS conformes : quand vous choisissez vos outils numériques (réservation, carte digitale, cartes cadeaux), vérifiez que l'éditeur est conforme au RGPD et héberge les données en Europe. ALaCarte.direct, par exemple, a été conçu avec la conformité RGPD intégrée dès la conception pour les restaurateurs français.

Les erreurs les plus courantes chez les restaurateurs

Pour conclure ce tour d'horizon, voici les manquements que la CNIL identifie le plus fréquemment dans les établissements de restauration :

  • Absence totale de registre des traitements — c'est le manquement le plus répandu
  • Newsletter envoyée sans consentement opt-in — acheter ou récupérer des e-mails sans accord explicite
  • Vidéosurveillance non déclarée — caméras sans panneau d'information ni autorisation préfectorale
  • Pas de procédure pour les demandes de droits — un client demande l'effacement de ses données et personne ne sait comment faire
  • Données conservées indéfiniment — des fichiers clients vieux de dix ans sans aucune purge
  • Sous-traitants non encadrés — aucun contrat avec le prestataire du logiciel de réservation ou de la solution de gestion d'accessibilité de votre ERP
  • Mots de passe faibles ou partagés — le code Wi-Fi du restaurant utilisé comme mot de passe pour tout

Passez à l'action dès aujourd'hui

La conformité CNIL et RGPD n'est pas un projet titanesque pour un restaurant indépendant. C'est un ensemble de bonnes pratiques simples qui protègent à la fois vos clients et votre établissement. Le risque n'est pas seulement financier — c'est aussi votre réputation locale qui est en jeu.

Commencez par le plus urgent : créez votre registre des traitements cette semaine. C'est gratuit, le modèle de la CNIL est téléchargeable en ligne, et cela vous prendra moins de deux heures. Ensuite, attaquez les mentions d'information et la sécurisation de vos outils.

N'attendez pas un contrôle ou une plainte pour agir. Un restaurateur qui peut montrer son registre à jour et expliquer sa politique de données inspire confiance — à ses clients, à ses équipes, et à la CNIL si elle frappe un jour à la porte.

La protection des données de vos clients est un prolongement naturel de l'hospitalité que vous leur offrez chaque jour dans votre salle. Traitez leurs données avec le même soin que leurs assiettes.

Cet article vous a-t-il été utile ?

Partager cet article :
Sophie - Rédaction ALaCarte
Sophie - Rédaction ALaCarte

FoodTech & Innovation Restauration

L'équipe éditoriale d'ALaCarte.Direct, spécialiste de la digitalisation des restaurants et de l'innovation FoodTech.