RGPD pour conciergerie : guide opérationnel 2026
RGPD pour conciergerie : guide opérationnel 2026
En bref
La CNIL a annoncé des contrôles ciblés sur les professionnels de la location courte durée à partir du premier trimestre 2026. La conciergerie est responsable de traitement (et non simple sous-traitant) sur la plupart des flux de données. Elle doit tenir un registre des traitements, informer les personnes concernées, encadrer ses sous-traitants et respecter des durées de conservation strictes. Les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83, RGPD).
Les flux de données dans une conciergerie
Une conciergerie traite trois catégories de données personnelles, chacune avec ses propres règles.
Données voyageurs
Identité (nom, prénom, date de naissance), coordonnées (adresse email, téléphone), données de séjour (dates, logement, nombre d’occupants), données de paiement (montant, mode de règlement), communications (messages échangés via les plateformes ou par email), et dans certains cas copies de pièces d’identité (passeport, carte nationale d’identité) collectées pour la fiche de police ou la taxe de séjour.
Données propriétaires
Identité (nom, prénom, raison sociale), coordonnées bancaires (IBAN pour le reversement des loyers), données fiscales (numéro fiscal, régime d’imposition pour les obligations déclaratives), données du mandat de gestion (durée, conditions, honoraires), données patrimoniales (adresse et caractéristiques des logements gérés).
Données collaborateurs et prestataires
Identité et coordonnées des femmes de ménage, techniciens de maintenance, blanchisseurs, photographes et autres prestataires. Données contractuelles (contrat de sous-traitance, factures, coordonnées bancaires pour les paiements).
Qui est responsable de quoi
Responsable de traitement : la conciergerie
Le responsable de traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement (article 4, RGPD). Dans la plupart des configurations, la conciergerie est responsable de traitement car elle décide pourquoi et comment les données sont traitées : elle choisit le PMS, définit les process de check-in, décide quelles données collecter, et détermine les durées de conservation.
Le référentiel CNIL gestion locative du 27 mai 2021 précise que « le gestionnaire qui détermine les finalités et les moyens des traitements est considéré comme responsable de traitement ». En gestion déléguée (cas le plus fréquent en conciergerie), c’est bien la conciergerie qui porte cette responsabilité.
Sous-traitant : le PMS, les OTA, le comptable
Le sous-traitant est l’organisme qui traite des données pour le compte du responsable de traitement (article 4, RGPD). En conciergerie, les sous-traitants sont :
- Le PMS (Hoguest, ou tout autre logiciel de gestion)
- Le channel manager (Channex.io, Beds24)
- L’outil de paiement (Stripe, PayPal)
- Le cabinet comptable (Pennylane, expert-comptable)
- Les prestataires opérationnels (sociétés de ménage, blanchisserie) lorsqu’ils accèdent à des données personnelles
Chaque sous-traitant doit être encadré par un contrat conforme à l’article 28 du RGPD.
Co-responsabilité : le cas Airbnb et conciergerie
La co-responsabilité de traitement (article 26, RGPD) peut exister lorsque deux organismes déterminent conjointement les finalités et les moyens d’un traitement. C’est le cas entre Airbnb et la conciergerie sur certains flux : Airbnb collecte les données du voyageur au moment de la réservation, et la conciergerie les utilise pour la gestion du séjour. Les lignes directrices du Comité européen de la protection des données (CEPD) recommandent de formaliser cette co-responsabilité par un accord écrit, ce qui est rarement fait en pratique.
Le registre des traitements obligatoire
Obligation légale
L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Cette obligation s’applique à toutes les conciergeries, sans exception de taille. Le registre doit être tenu par écrit, sous forme électronique, et mis à disposition de la CNIL sur demande.
Contenu minimal du registre
Chaque fiche de traitement doit mentionner :
- Le nom et les coordonnées du responsable de traitement
- Les finalités du traitement (pourquoi vous traitez ces données)
- Les catégories de personnes concernées (voyageurs, propriétaires, prestataires)
- Les catégories de données traitées (identité, coordonnées, données de paiement)
- Les destinataires des données (propriétaires, prestataires, administration fiscale)
- Les transferts hors UE le cas échéant (serveurs Airbnb aux États-Unis)
- Les durées de conservation prévues
- Les mesures de sécurité techniques et organisationnelles
Exemple de fiche de traitement : gestion des séjours voyageurs
| Champ | Contenu |
|---|---|
| Finalité | Gestion des réservations et des séjours en location courte durée |
| Base légale | Exécution du contrat (article 6.1.b RGPD) |
| Personnes concernées | Voyageurs ayant réservé un logement géré |
| Données traitées | Identité, coordonnées, dates de séjour, nombre d’occupants, paiement |
| Destinataires | Propriétaire mandant, OTA, prestataires ménage, administration fiscale (taxe de séjour) |
| Transferts hors UE | Oui (Airbnb Inc., États-Unis, clauses contractuelles types) |
| Durée de conservation | Durée du séjour + 3 ans |
| Mesures de sécurité | Chiffrement, accès par rôle, authentification forte |
Les mentions d’information obligatoires
Information du voyageur
L’article 13 du RGPD impose d’informer le voyageur au moment de la collecte de ses données. Cette information doit être fournie de manière concise, transparente et facilement accessible. En conciergerie, les supports d’information sont :
- Le message de bienvenue envoyé avant le séjour (email ou message plateforme)
- Le livret d’accueil dans le logement
- La politique de confidentialité sur le site internet de la conciergerie
Les mentions obligatoires comprennent : l’identité du responsable de traitement, les finalités et bases légales, les destinataires, les durées de conservation, les droits de la personne (accès, rectification, effacement, opposition, portabilité), et le droit d’introduire une réclamation auprès de la CNIL.
Information du propriétaire
Le propriétaire mandant doit être informé du traitement de ses données dès la signature du mandat de gestion. Les mentions d’information peuvent être intégrées directement dans le mandat ou dans une annexe dédiée. Elles couvrent les mêmes éléments que l’information voyageur, adaptés au contexte du mandat.
Information des prestataires
Les prestataires (femmes de ménage, techniciens) dont vous traitez les données personnelles doivent également être informés. L’information peut être intégrée dans le contrat de prestation ou dans un document annexe.
Les durées de conservation
Le principe de limitation de la conservation (article 5.1.e du RGPD) impose de ne conserver les données que pendant la durée strictement nécessaire à la finalité du traitement. Voici les durées applicables en conciergerie.
| Type de données | Durée de conservation | Base |
|---|---|---|
| Données voyageurs (identité, séjour) | Durée du séjour + 3 ans | Prescription civile (article 2224 du code civil) |
| Copies de pièces d’identité voyageurs | 15 jours après le départ du voyageur | Recommandation professionnelle, principe de minimisation |
| Données mandat propriétaire | Durée du mandat + 5 ans | Prescription civile |
| Documents comptables (factures, CRG) | 10 ans | Article L. 123-22 du code de commerce |
| Données fiscales | 6 ans après la dernière opération | Article L. 102 B du livre des procédures fiscales |
| Données prospects | 3 ans après le dernier contact actif | Recommandation CNIL |
| Vidéosurveillance parties communes | 30 jours maximum | Recommandation CNIL |
| Données de connexion (logs PMS) | 1 an | Article 6 de la LCEN |
Les sous-traitants à encadrer
Chaque sous-traitant qui accède à des données personnelles pour votre compte doit être lié par un contrat conforme à l’article 28 du RGPD. Ce contrat doit préciser : l’objet et la durée du traitement, la nature et la finalité, les types de données, les catégories de personnes concernées, et les obligations du sous-traitant (confidentialité, sécurité, assistance, restitution ou suppression en fin de contrat).
Le PMS (Hoguest et autres)
Le PMS est le principal sous-traitant de la conciergerie. Il stocke et traite l’ensemble des données voyageurs, propriétaires et opérationnelles. Le contrat de sous-traitance doit préciser la localisation des serveurs, les mesures de sécurité, les modalités de portabilité et les conditions de suppression des données en fin de contrat.
Le channel manager
Le channel manager (Channex.io, Beds24) synchronise les données de réservation entre les OTA et le PMS. Il accède aux données voyageurs (identité, dates, montants). Un contrat article 28 est nécessaire.
L’outil de paiement
Stripe, PayPal ou tout autre prestataire de paiement traite les données bancaires des voyageurs. Ces prestataires sont généralement conformes PCI-DSS et disposent de leur propre politique RGPD, mais le contrat de sous-traitance article 28 reste nécessaire.
Le cabinet comptable
Le cabinet comptable ou l’outil en ligne (Pennylane) accède aux données financières des propriétaires et de la conciergerie. Le contrat de sous-traitance doit encadrer cet accès.
Les prestataires terrain
Les femmes de ménage, les techniciens de maintenance et les autres prestataires terrain accèdent parfois à des données personnelles (nom du voyageur, adresse du logement, code d’accès). Si cet accès est encadré par la conciergerie (transmission des informations via une application ou un email), un contrat de sous-traitance simplifié est nécessaire. A minima, une clause de confidentialité doit figurer dans le contrat de prestation. Pour les enjeux juridiques de la sous-traitance en conciergerie, consultez notre article dédié.
Les droits des voyageurs et des propriétaires
Le RGPD confère aux personnes concernées un ensemble de droits que la conciergerie doit être en mesure de respecter.
Droit d’accès (article 15) : toute personne peut demander à connaître les données détenues à son sujet. La conciergerie doit fournir une copie des données dans un délai d’un mois.
Droit de rectification (article 16) : la personne peut demander la correction de données inexactes.
Droit à l’effacement (article 17) : la personne peut demander la suppression de ses données lorsque celles-ci ne sont plus nécessaires, sauf obligation légale de conservation (données comptables, fiscales).
Droit d’opposition (article 21) : la personne peut s’opposer au traitement pour motifs légitimes, notamment au traitement à des fins de prospection commerciale.
Droit à la portabilité (article 20) : la personne peut demander à recevoir ses données dans un format structuré et lisible par machine.
Le délai de réponse est d’un mois maximum (article 12, RGPD). En cas de demande complexe, ce délai peut être prolongé de deux mois, sous réserve d’informer le demandeur dans le mois suivant la réception de la demande.
En cas de violation de données
Notification CNIL sous 72 heures
L’article 33 du RGPD impose la notification de toute violation de données à la CNIL dans les 72 heures suivant sa découverte, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. En pratique, une fuite de données voyageurs (passeports, coordonnées bancaires) doit toujours être notifiée.
La notification se fait en ligne sur le site de la CNIL et doit décrire : la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables, et les mesures prises ou envisagées pour remédier à la violation.
Communication aux personnes concernées
Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (usurpation d’identité, préjudice financier), la conciergerie doit en informer directement les personnes concernées (article 34, RGPD). Cette communication doit décrire la nature de la violation en termes clairs et simples.
Documentation interne
Toute violation, même sans notification CNIL, doit être documentée dans un registre interne des violations (article 33.5, RGPD). Ce registre doit mentionner les faits, les effets et les mesures prises.
Cas pratique : fuite de données via une OTA
Sanctions et contrôles CNIL
Sanctions encourues
L’article 83 du RGPD prévoit deux paliers de sanctions administratives :
- Jusqu’à 10 millions d’euros ou 2 % du CA annuel mondial pour les manquements aux obligations du responsable de traitement (registre, sécurité, notification)
- Jusqu’à 20 millions d’euros ou 4 % du CA annuel mondial pour les violations des principes fondamentaux (licéité, consentement, droits des personnes)
En 2025, la CNIL a prononcé pour 486,8 millions d’euros de sanctions, contre 55,2 millions d’euros en 2024. La tendance est clairement à l’accélération.
Contrôles en location courte durée
La CNIL a annoncé des contrôles ciblés sur les professionnels de la location courte durée à partir du premier trimestre 2026. Ces contrôles portent sur le registre des traitements, les mentions d’information, les durées de conservation et les contrats de sous-traitance.
Préparation à un contrôle
Documents à tenir prêts en permanence :
- Registre des traitements à jour
- Contrats de sous-traitance article 28 avec chaque prestataire
- Mentions d’information voyageurs, propriétaires et prestataires
- Politique de durées de conservation documentée
- Registre des violations (même vide)
- Procédure de réponse aux demandes d’exercice des droits
- Analyse d’impact si traitement à grande échelle (AIPD, article 35 RGPD)
Questions fréquentes
La conciergerie doit-elle nommer un délégué à la protection des données (DPO) ? +
Le RGPD impose la désignation d'un DPO lorsque le traitement est effectué à grande échelle ou porte sur des données sensibles (article 37). Pour une conciergerie de taille standard (moins de 100 logements), la nomination d'un DPO n'est pas obligatoire. Elle reste recommandée pour les conciergeries gérant plus de 200 logements ou traitant un volume important de données voyageurs.
Faut-il faire signer le RGPD par chaque voyageur ? +
Non. Le RGPD n'impose pas de signature. Il impose une information claire et accessible. Le voyageur doit être informé du traitement de ses données (article 13), mais cette information peut être fournie par email, dans le livret d'accueil ou via un lien vers la politique de confidentialité. Un consentement signé n'est nécessaire que pour des traitements spécifiques non couverts par une autre base légale (prospection commerciale, par exemple).
Que faire des données d'un voyageur cinq ans après son séjour ? +
Elles doivent être supprimées. La durée de conservation recommandée pour les données voyageurs est de trois ans après la fin du séjour (prescription civile). Au-delà, seules les données nécessaires à une obligation légale (données comptables : 10 ans, données fiscales : 6 ans) peuvent être conservées, dans un archivage intermédiaire avec accès restreint.
Airbnb fournit-il les données conformément au RGPD ? +
Airbnb dispose de sa propre politique de protection des données et de contrats de co-responsabilité avec les hôtes professionnels. En pratique, les données transmises via l'API Airbnb au PMS sont encadrées par les conditions d'utilisation de l'API. La conciergerie doit vérifier que le transfert de données depuis Airbnb (société américaine) est couvert par des clauses contractuelles types ou le Data Privacy Framework.
Comment gérer le droit à l'oubli d'un voyageur Airbnb ? +
Si un ancien voyageur demande l'effacement de ses données (article 17), vous devez supprimer ses données de votre PMS, de vos emails et de tout support où elles sont stockées. Exception : les données nécessaires à une obligation légale (comptabilité, fiscalité) ou à la constatation, l'exercice ou la défense de droits en justice peuvent être conservées. Informez le voyageur des données conservées et de la base légale justifiant leur conservation.
Le registre des traitements doit-il être mis à jour à chaque nouvelle réservation ? +
Non. Le registre décrit les catégories de traitements, pas chaque opération individuelle. Il doit être mis à jour lorsque vous ajoutez un nouveau type de traitement (nouveau prestataire, nouvelle finalité, nouveau type de données collectées), modifiez les durées de conservation ou changez de sous-traitant.
Quel est le risque réel de contrôle CNIL pour une petite conciergerie ? +
Le risque est faible mais croissant. La CNIL a annoncé des contrôles ciblés sur la location courte durée à partir de 2026. Les contrôles sont déclenchés par les plaintes (un voyageur mécontent, un propriétaire en litige) ou par des campagnes sectorielles. Le coût de la mise en conformité est modeste comparé au risque de sanction. Un registre des traitements et des mentions d'information corrects se mettent en place en quelques heures.
Conclusion
La conformité RGPD d’une conciergerie repose sur quatre piliers : un registre des traitements à jour, des mentions d’information claires pour chaque catégorie de personnes, des contrats de sous-traitance article 28 avec chaque prestataire, et des durées de conservation respectées. La CNIL intensifie ses contrôles sur le secteur de la location courte durée : la mise en conformité n’est plus optionnelle.
Pour un panorama complet de vos obligations juridiques, consultez notre guide de la loi Hoguet, notre article sur les risques du sous-mandat et notre checklist audit conformité.
Cet article présente le cadre juridique applicable au 19 mai 2026. Pour toute question relative à votre situation particulière, consultez un avocat spécialisé en droit des données personnelles ou un délégué à la protection des données (DPO) externalisé.