Nexconform
Guide secteur 5 000+ établissements

Loi 25 pour Hôtellerie : guide pratique 2026

Équipe Nexconform

Les hôtels, auberges et établissements d'hébergement touristique québécois collectent des données sensibles sur leurs clients : coordonnées, informations de paiement, préférences, et historique de séjours. Avec plus de 5 000 établissements et une forte saisonnalité, la gestion des données de réservation et la sécurité des systèmes de paiement sont essentielles. Les données de voyageurs internationaux ajoutent une complexité supplémentaire.

Plan de conformité Loi 25 pour hôtellerie : 8 étapes

1

Désigner un RPRP

15 min

Nommez un responsable de la protection des renseignements personnels au sein de l'établissement.

Actions

  • Désigner un RPRP (directeur ou responsable)
  • Publier coordonnées à la réception et sur le site
  • Informer la CAI de la désignation

Livrable

Coordonnées RPRP publiées

2

Inventaire des données hôtellerie

1h

Identifiez toutes les données collectées : réservations, paiements, registres, fidélité.

Actions

  • Lister tous les systèmes de réservation
  • Identifier les données de paiement
  • Cartographier les registres de voyageurs

Livrable

Inventaire des données hôtellerie

3

Analyse des risques hôteliers

45 min

Évaluez les risques spécifiques : paiements, registres, accès physiques.

Actions

  • Évaluer risques de fuites de paiement
  • Identifier risques d'accès aux registres
  • Scorer risques des systèmes d'accès

Livrable

Analyse des risques hôteliers

4

Sécurisation des paiements

1h

Implémentez la tokenisation PCI-DSS et sécurisez les systèmes de réservation.

Actions

  • Configurer tokenisation avec fournisseur PCI
  • Auditer les systèmes de réservation
  • Sécuriser les terminaux de paiement

Livrable

Paiements sécurisés PCI-DSS

5

Protection des registres

45 min

Sécurisez les registres de voyageurs et contrôlez strictement leur accès.

Actions

  • Chiffrer les registres électroniques
  • Limiter accès au personnel autorisé
  • Configurer logs d'accès

Livrable

Registres sécurisés

6

Registre des traitements

1h

Documentez chaque traitement : réservations, paiements, registres, sous-traitants.

Actions

  • Documenter finalités par type de données
  • Définir durées de conservation
  • Lister les plateformes de réservation (sous-traitants)

Livrable

Registre RP hôtellerie complet

7

Politique et consentement

30 min

Rédigez une politique de confidentialité transparente et informez les clients.

Actions

  • Rédiger politique adaptée à l'hôtellerie
  • Ajouter mention sur les registres de voyageurs
  • Expliquer les droits des clients

Livrable

Politique publiée en ligne

8

Formation du personnel

45 min

Formez le personnel aux bonnes pratiques de protection des données.

Actions

  • Former à la confidentialité des registres
  • Expliquer les procédures de sécurité
  • Signer engagements de confidentialité

Livrable

Attestations de formation signées

Obligations spécifiques pour les hôtellerie

1

Sécurisation des réservations

Les données de réservation (coordonnées, dates, préférences) doivent être stockées de manière sécurisée. Les paiements doivent respecter la norme PCI-DSS. Les annulations doivent aussi être documentées dans le registre RP.

2

Registres des voyageurs

Les hôtels doivent conserver un registre des voyageurs pour la police et la réglementation. Ces données doivent être protégées et accessibles uniquement aux personnes autorisées.

3

Données internationales

Les clients internationaux nécessitent une attention particulière. Les transferts de données hors du Canada doivent être justifiés et sécurisés. Les politiques doivent être disponibles en plusieurs langues.

4

Sécurité des accès physiques

Les clés électroniques, codes d'accès, et systèmes de surveillance sont des données sensibles. Leur gestion doit être sécurisée et les accès doivent être journalisés.

Risques principaux et solutions

Risque

Violation de données de paiement

Conséquence

Exposition des numéros de cartes de crédit et informations de paiement des clients. Risque de fraude et perte de confiance massive.

Solution

Tokenisation des paiements avec fournisseurs certifiés PCI-DSS. Chiffrement des données de réservation. Audit régulier des systèmes de paiement.

Risque

Accès aux registres de voyageurs

Conséquence

Consultation non autorisée des registres contenant les informations détaillées des clients et leurs dates de séjour. Violation de la vie privée.

Solution

Contrôle d'accès strict aux registres de voyageurs. Logs d'accès détaillés. Formation du personnel à la confidentialité.

Risque

Conservation excessive

Conséquence

Conserver les données de réservation et les détails de séjour au-delà de la durée nécessaire. Exposition inutile à des risques de fuite.

Solution

Politique de rétention : conservation 2 ans après le dernier séjour, puis anonymisation ou destruction. Archivage sécurisé des données historiques.

Risque

Partage avec plateformes

Conséquence

Transmission de données détaillées aux plateformes de réservation (Booking, Expedia) sans consentement clair du client.

Solution

Information transparente dans la politique de confidentialité. Choix du client sur le partage de données. Contrats de sous-traitance avec les plateformes.

Actifs de données à protéger

moyenne

Données de réservation

Dates de séjour, type de chambre, nombre de personnes, préférences spéciales, historique des réservations, demandes particulières

élevée

Informations de paiement

Numéros de carte de crédit tokenisés, historique des factures, coordonnées bancaires pour remboursements, factures détaillées

élevée

Registres des voyageurs

Noms complets, dates de naissance, nationalités, numéros de passeport ou permis de conduire, adresses, numéros de téléphone

moyenne

Programmes de fidélité

Points de fidélité accumulés, préférences de chambre, historique des séjours, notes de satisfaction, récompenses préférées

élevée

Données d'accès physique

Codes d'accès aux chambres, historique des ouvertures de portes, accès aux zones sécurisées, vidéos de surveillance

Cas client : Hôtel Le Mont-Royal

H

Hôtel Le Mont-Royal

65 chambres, 45 employés

Conformité complète en 4 heures. Paiements sécurisés, registres chiffrés. Aucun incident depuis la conformisation.

"La sécurisation de nos registres nous a permis de rassurer nos clients internationaux. Les formations ont sensibilisé notre personnel aux risques."

Exemple de sanction réelle

Un hôtel de Montréal a été sanctionné à hauteur de 50 000 $ en 2024 suite à une fuite de données de 12 000 clients via un système de réservation non sécurisé. Les données incluaient des numéros de cartes de crédit.

Questions fréquentes

Dois-je conserver les registres de voyageurs pour la police ?

Oui, vous devez conserver les registres selon les exigences réglementaires. La Loi 25 exige que ces données soient protégées et accessibles uniquement aux personnes autorisées. La durée de conservation doit être documentée dans votre registre RP.

Comment gérer les données des clients internationaux ?

Les clients internationaux ont les mêmes droits. Si vous transférez des données hors du Canada, vous devez vous assurer que le pays offre une protection équivalente ou signer des clauses contractuelles adaptées. Votre politique doit être accessible en anglais.

Puis-je conserver les coordonnées des clients pour le marketing ?

Oui, mais uniquement avec leur consentement explicite. Vous devez leur proposer une option de désinscription facile. Les données ne doivent pas être conservées indéfiniment (maximum 2 ans après le dernier séjour).

Rejoignez les Hôtellerie conformes

5 000+ établissements utilisent déjà Nexconform pour automatiser leur conformité.

Créer mon compte gratuitVoir une démo