RGPD pour les restaurants en France : guide pratique

Un restaurant semble loin du monde numérique. Pourtant, un système de réservation en ligne, un WiFi gratuit, un programme de fidélité, des caméras de surveillance ou même la collecte d'avis clients font de tout restaurateur un responsable de traitement au sens du RGPD.

La CNIL n'exempte pas la restauration. En 2023, elle a contrôlé plusieurs chaînes de restauration rapide et signalé des manquements liés à la vidéosurveillance et aux programmes de fidélité.

---

Réservations en ligne

TheFork (LaFourchette), Zenchef, Guestonline, Google Reserve — tous ces systèmes traitent le nom, le téléphone et l'email de vos clients en votre nom.

Vos obligations :

• Vérifiez que votre plateforme de réservation dispose d'un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD
• Informez les clients au moment de la réservation : quelles données sont collectées, pourquoi, combien de temps
• Ne réutilisez pas les données de réservation pour de la prospection commerciale sans consentement séparé
• Définissez une durée de conservation : 1 an après la dernière réservation est raisonnable

Erreur fréquente : des restaurants conservent l'historique complet des réservations depuis l'installation du logiciel, sans jamais purger. C'est contraire au principe de limitation de la conservation (article 5-1-e du RGPD).

---

WiFi gratuit

Le WiFi gratuit est courant dans la restauration. Si vous utilisez un portail captif qui demande un email ou un numéro de téléphone :

• Informez clairement : l'email sert-il uniquement à l'accès WiFi ou aussi à du marketing ?
• Consentement séparé pour toute utilisation marketing (case non pré-cochée)
• Logs de connexion : la loi française (décret n° 2006-358) impose de conserver les données de connexion pendant 1 an. Mais cette obligation se limite aux données techniques (IP, horodatage), pas aux données marketing
• Ne vendez pas les données WiFi à des tiers

Si votre WiFi ne demande aucune donnée personnelle (mot de passe affiché en salle), les obligations RGPD sont minimales.

---

Vidéosurveillance

La vidéosurveillance dans un restaurant est soumise à un double cadre juridique :

Pour les espaces ouverts au public (salle, terrasse, entrée)

• Autorisation préfectorale obligatoire (Code de la sécurité intérieure, art. L251-1 et suivants)
• Panneau d'information visible indiquant la présence de caméras, le responsable, et le droit d'accès aux images
• Durée de conservation : 30 jours maximum, sauf incident nécessitant une conservation prolongée

Pour les espaces non accessibles au public (réserve, cuisine)

• Pas d'autorisation préfectorale, mais le RGPD s'applique pleinement
• Information des salariés obligatoire (affichage + mention dans le règlement intérieur)
• Consultation préalable du CSE (Comité Social et Économique) si applicable

Interdictions

• Caméras dans les vestiaires et toilettes : strictement interdit
• Surveillance permanente d'un poste de travail : interdit sauf justification particulière (manipulation d'espèces)
• Caméras avec enregistrement sonore : soumis à des conditions très strictes

Actiepunt : Inscrivez votre vidéosurveillance dans votre registre des traitements et vérifiez que vos panneaux d'information sont à jour.

---

Programme de fidélité

Un programme de fidélité numérique (application, carte dématérialisée) implique :

• Politique de confidentialité dédiée ou section spécifique dans votre politique existante
• Droit d'accès : les clients doivent pouvoir consulter leurs points et leurs données
• Droit de suppression : un client qui quitte le programme doit pouvoir demander la suppression de ses données
• Pas de couplage automatique avec votre newsletter sans consentement séparé

Un programme papier (carte à tamponner) ne soulève pas de question RGPD, tant qu'il n'est pas associé à des données nominatives.

---

Avis clients et réseaux sociaux

Si vous collectez des avis directement sur votre site (pas via Google ou TripAdvisor) :

• Informez les clients que leur prénom et leur avis seront publiés
• Offrez un droit de modification ou de suppression
• Ne publiez pas le nom complet sans consentement

Pour les réponses aux avis sur Google ou TripAdvisor : ne divulguez jamais de détails personnels du client dans votre réponse publique (date de visite, montant dépensé, détails de réservation).

---

Site web du restaurant

Le site web de votre restaurant comporte presque certainement :

• Un formulaire de réservation ou un widget tiers → politique de confidentialité obligatoire
• Google Analytics ou un autre outil d'analytics → bannière cookies obligatoire
• Google Maps intégré → charge des cookies de Google
• Photos des plats/de la salle → si des personnes sont identifiables, droit à l'image

Obligations sur votre site :

• Mentions légales complètes (SIREN, RCS, hébergeur — obligatoire sous la LCEN)
• Politique de confidentialité accessible
• Bannière cookies fonctionnelle (le refus bloque réellement les trackers)

---

Checklist RGPD pour restaurants

| Point | Requis ? | |---|---| | Contrat de sous-traitance avec la plateforme de réservation | Oui | | Politique de confidentialité sur le site | Oui | | Bannière cookies fonctionnelle | Oui (si analytics) | | Mentions légales (SIREN, RCS, hébergeur) | Oui (LCEN) | | Autorisation préfectorale vidéosurveillance | Oui (lieux publics) | | Panneaux d'information caméras | Oui | | Conservation images max. 30 jours | Oui | | WiFi : consentement marketing séparé | Oui | | Registre des traitements | Oui | | Durée de conservation réservations définie | Oui |

---

Vérifiez votre site gratuitement

Scanner le site de mon restaurant →

Résultat en 60 secondes. Aucun compte requis.

---

Sources

• CNIL — Vidéosurveillance et vidéoprotection
• CNIL — RGPD : par où commencer
• Service-Public.fr — Vidéosurveillance dans un ERP

---

Ceci est une analyse technique, pas un conseil juridique.