Un régime de collecte imposé aux hébergeurs jugé excessif
La directive (UE) 2016/680 encadre le traitement des données personnelles par les services répressifs, en exigeant que les finalités d’accès soient déterminées, explicites et proportionnées. Or la législation espagnole oblige les fournisseurs d’hébergement – hôtels, hébergements touristiques, plateformes – à collecter un ensemble étendu de données sur leurs clients, incluant des données de paiement et des coordonnées GPS, à les conserver pendant trois ans, puis à les transférer dans une base de données gouvernementale centralisée accessible aux forces de l’ordre. La Commission considère que les catégories de données collectées sont excessives au regard de leur diversité, que l’accès des services répressifs n’est pas limité à des finalités suffisamment précises, et que la durée de conservation de trois ans est disproportionnée.
Les hôteliers espagnols en première ligne
Ce dispositif place les établissements hôteliers dans une position de collecteurs de données contraints, sans que le cadre juridique européen ne soit respecté. Pour les opérateurs étrangers présents en Espagne – chaînes internationales, plateformes de réservation, gestionnaires d’hébergements touristiques -, cette obligation constitue une charge administrative réelle, doublée d’un risque de non-conformité au RGPD et aux législations nationales de protection des données de leurs pays d’origine. La procédure rappelle par ailleurs que des dispositifs similaires, adoptés dans plusieurs États membres sous couvert de sécurité publique, font l’objet d’une surveillance croissante de la part des instances européennes.
Deux mois pour se mettre en conformité
L’Espagne dispose désormais d’un délai de deux mois pour répondre à la lettre de mise en demeure et remédier aux manquements relevés. A défaut de réponse satisfaisante, la Commission pourrait décider d’émettre un avis motivé, première étape vers une saisine de la Cour de justice de l’Union européenne. Cette procédure s’inscrit dans le cycle régulier des décisions d’infraction publiées par la Commission le 4 juin 2026, qui concernent une dizaine de domaines et une vingtaine d’États membres.
At a Glance
Infringement procedure: European Commission v. Spain, opened June 4, 2026
Legal basis: Directive (EU) 2016/680 (data protection in law enforcement)
Issue: Spanish law requires accommodation providers, online platforms and car rental companies to collect, store (3 years) and transfer travellers’ personal data (incl. payment data and GPS) to a centralised government database
Commission’s position: data categories excessive, access not limited to explicit purposes, 3-year retention disproportionate
Next step: Spain has 2 months to respond; failure may lead to a reasoned opinion and CJEU referral
Industry impact: direct obligation on hoteliers operating in Spain
