Vous tenez un restaurant ? Vous traitez plus de données personnelles que vous ne le pensez : réservations en ligne, programme de fidélité, vidéosurveillance, livraison à domicile, candidatures saisonnières. Tout cela doit figurer dans votre registre des traitements RGPD.
Les 5 traitements types d'un restaurant
1. Réservations en ligne
| Finalité | Gestion des réservations, rappels SMS, suivi no-show |
| Personnes | Clients particuliers, parfois mineurs accompagnés |
| Données | Nom, prénom, téléphone, email, date/heure réservation, allergies si renseignées |
| Base légale | Contrat (Art. 6.1.b) ou intérêt légitime |
| Sous-traitants | TheFork, Zenchef, OpenTable, opérateur SMS (Twilio, Plivo) |
| Hors UE | Oui (TheFork US, Twilio US) — CCT EU 2021/914 |
| Durée active | Durée de la relation + 3 ans |
⚠️ Attention aux allergies : si vous demandez les allergies dans le formulaire de réservation, vous collectez des données de santé (article 9 RGPD). La base légale passe à « consentement explicite » et la sécurité doit être renforcée.
2. Programme de fidélité
| Finalité | Animation commerciale, offres personnalisées, anniversaires |
| Données | Identité, email, téléphone, historique achats, préférences, date naissance |
| Base légale | Consentement (Art. 6.1.a) |
| Sous-traitants | Como, Zerosix, Loyalty by Lightspeed, Mailchimp |
| Durée active | 3 ans à compter du dernier achat |
⚠️ Piège : la date d'anniversaire pour offrir un cadeau le jour J est une donnée non strictement nécessaire à la fidélité. Elle doit être optionnelle au moment de l'inscription.
3. Vidéosurveillance
| Finalité | Sécurité des biens et des personnes |
| Personnes | Clients, salariés, visiteurs, livreurs |
| Données | Images vidéo (et audio si captation sonore — déconseillé) |
| Base légale | Intérêt légitime (Art. 6.1.f) |
| Durée active | 30 jours maximum (recommandation CNIL) |
| Sécurité | Affichage obligatoire, accès limité gérant, écrasement auto |
⚠️ Points sensibles vidéosurveillance :
- Affichage obligatoire à l'entrée du restaurant indiquant la présence de caméras + l'identité du responsable + les droits des personnes
- Pas de caméras dans les zones privatives salariés (vestiaires, toilettes, salle de pause)
- Pas de captation audio sauf justification très spécifique (banque)
- Information préalable des salariés + consultation CSE si > 11 salariés
4. Livraison à domicile (Uber Eats, Deliveroo, JustEat)
| Finalité | Préparation et livraison commandes |
| Données | Nom, adresse, téléphone, contenu commande, instructions livraison |
| Base légale | Contrat (entre le restaurant et la plateforme) |
| Sous-traitants | Uber Eats, Deliveroo, JustEat, plateforme paiement |
| Hors UE | Oui pour la plupart — CCT |
| Durée active | Durée de la commande + 30 jours pour réclamations |
⚠️ Particularité : sur Uber Eats / Deliveroo, vous êtes co-responsable de traitement avec la plateforme. Vous devez signer un accord de partage de responsabilités (souvent inclus dans les CGV de la plateforme — relire attentivement).
5. Recrutement saisonnier
| Finalité | Sélection des candidats |
| Données | Identité, email, téléphone, CV, lettre de motivation |
| Base légale | Mesures précontractuelles (Art. 6.1.b) |
| Sous-traitants | Welcome to the Jungle, Pôle Emploi, Brigad, Estaff |
| Durée active | 2 ans après dernier contact si pas retenu |
Cas particulier : restaurant avec WiFi gratuit pour clients
Si vous offrez du WiFi à vos clients via une borne (FreeWifi, Wifi-Hotspot), vous collectez des logs de connexion :
| Finalité | Mise à disposition WiFi + obligation légale de conservation des données techniques |
| Données | Adresse MAC, horodatage connexion/déconnexion, IP attribuée |
| Base légale | Obligation légale (Art. L.34-1 CPCE) + intérêt légitime |
| Durée active | 1 an (obligation légale) |
Automatisez votre registre avec un audit RGPD
Notre audit RGPD à 490 € scanne votre site restaurant (TheFork, Zenchef, Mailchimp, vidéosurveillance, formulaires) et génère le registre des traitements pré-rempli pour votre établissement. Voir un exemple de rapport.
Combien de temps faut-il pour le registre d'un restaurant ?
Pour un restaurant typique (1 établissement, 5-15 salariés) :
- 2 à 4 heures en suivant une méthode structurée
- Quelques minutes si vous l'automatisez via un audit RGPD
Vous pouvez le faire en une soirée. Voir la méthode pas-à-pas.
Aller au-delà du registre
La conformité RGPD complète d'un restaurant demande aussi : page « Confidentialité » sur votre site, mentions légales conformes LCEN, mention vidéosurveillance affichée, contrats Art. 28 avec TheFork/Mailchimp/etc.
Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.