Pourquoi la question se pose maintenant
La Polynésie française est un pays et territoire d'outre-mer (PTOM), situé hors du territoire de l'Union européenne. Le RGPD et l'AI Act européens ne s'y appliquent donc pas automatiquement du fait de votre implantation. Le texte réellement contraignant pour vos traitements de données est la loi française n° 78-17 « Informatique et Libertés », transposée en Polynésie française depuis le 1er juin 2019 (décret 2019-536, JOPF) — avec, en pratique, les mêmes obligations. Le RGPD ne s'applique directement que si vous ciblez des clients situés dans l'UE (article 3), et l'AI Act uniquement si vous placez des systèmes d'IA sur le marché européen. Dans cet article, « RGPD » = les obligations Informatique et Libertés en vigueur en PF.
Les hôtels, agences de voyage, tour-opérateurs et prestataires d'activités nautiques collectent aujourd'hui une quantité croissante de données sur leurs clients : noms, adresses email, préférences de séjour, comportements de navigation sur leur site web, avis post-séjour… Cette collecte est légitime — elle permet de personnaliser l'expérience, de mieux cibler les communications, d'optimiser les offres. Mais elle n'est pas sans contraintes légales, y compris en Polynésie française.
En 2026, le cadre réglementaire sur la protection des données personnelles s'applique à toute structure qui traite des informations concernant des résidents ou des visiteurs européens, quelle que soit la localisation géographique du prestataire. Concrètement : un resort de Bora Bora qui collecte les données d'un couple français est soumis aux règles du RGPD, au même titre qu'un hôtel parisien.
Ce qui est clairement autorisé
Plusieurs pratiques sont parfaitement légitimes, à condition de respecter quelques principes de base.
- La collecte lors d'une réservation : nom, prénom, coordonnées, dates de séjour — ces données sont nécessaires à l'exécution du contrat. Elles peuvent être collectées sans consentement explicite supplémentaire, car elles sont justifiées par la relation commerciale.
- Les cookies fonctionnels sur votre site web : ceux qui permettent la navigation, la mémorisation d'un panier ou d'une session de réservation sont autorisés sans consentement préalable. Ils sont techniquement indispensables.
- Les statistiques de fréquentation anonymisées : mesurer le nombre de visiteurs sur une page, le taux de rebond, les pages les plus consultées — tant que ces données ne permettent pas d'identifier un individu, elles relèvent des finalités statistiques et ne requièrent pas de consentement.
- L'envoi d'une confirmation de réservation ou d'une facture : communication directement liée à la prestation achetée, aucune restriction particulière.
Ce qui nécessite un consentement explicite
D'autres pratiques, très répandues dans le tourisme, supposent en revanche d'obtenir une autorisation claire et préalable de la part du visiteur.
- Les cookies marketing et de tracking : si vous utilisez des pixels publicitaires (pour faire du reciblage sur les réseaux sociaux ou Google Ads), des cookies de mesure comportementale croisée entre plusieurs sites, ou des outils d'analyse qui permettent d'identifier un utilisateur — vous devez afficher un bandeau de consentement et ne déposer ces cookies qu'après validation. Ce n'est pas optionnel.
- Les newsletters et campagnes email : envoyer une offre promotionnelle à un client qui a séjourné chez vous il y a six mois ? Légal uniquement si ce client a coché une case (non pré-cochée) pour recevoir vos communications commerciales. Le simple fait d'avoir son email pour lui envoyer sa confirmation de séjour ne vous autorise pas à lui envoyer des promotions.
- Le partage de données avec des tiers : transmettre la liste de vos clients à un partenaire, une agence de voyage ou une régie publicitaire nécessite un consentement spécifique et une information claire sur l'identité du destinataire.
- La collecte de données sensibles : régimes alimentaires (qui peuvent révéler des convictions religieuses), handicaps, préférences particulières — ces informations, parfois utiles pour personnaliser un séjour, relèvent de catégories spéciales et doivent être traitées avec un niveau de protection renforcé.
Ce qui est interdit, sans exception
Certaines pratiques sont à proscrire totalement, indépendamment de tout consentement.
- Collecter plus de données que nécessaire : demander le numéro de passeport pour une simple activité de snorkeling, exiger la date de naissance pour s'inscrire à une newsletter — c'est ce qu'on appelle la collecte excessive. Le principe de minimisation impose de ne collecter que ce qui est strictement utile à la finalité déclarée.
- Conserver les données indéfiniment : les données clients doivent être supprimées ou anonymisées au-delà d'une durée raisonnable. Garder dans une base de données des informations sur des clients qui ont séjourné il y a dix ans, sans justification, expose à des risques réglementaires.
- Revendre des données sans consentement : pratique illégale, même si elle reste répandue de manière informelle dans certains secteurs.
Le réflexe pratique à adopter
Pour les acteurs du tourisme en Polynésie française, la démarche de conformité n'a pas besoin d'être complexe. Elle repose sur trois questions simples à se poser avant toute collecte : Pourquoi je collecte cette donnée ? Ai-je le droit de le faire sans consentement, ou dois-je l'obtenir ? Combien de temps vais-je la conserver ?
Former ses équipes à ces réflexes — réceptionnistes, responsables marketing, community managers — est le premier investissement à réaliser. Un collaborateur qui saisit des données clients sans comprendre les règles associées est une source de risque, quelle que soit la taille de la structure.
La conformité n'est pas une contrainte administrative abstraite. C'est aussi une question de confiance : un visiteur qui sait que ses données sont traitées avec sérieux reviendra, et en parlera positivement.
