Office de Tourisme et Protection des Données : Qui est Responsable selon la Forme Juridique ?
Introduction
Les offices de tourisme constituent des acteurs essentiels du développement territorial, particulièrement pour les communes et intercommunalités de petite et moyenne taille. Pourtant, derrière l’apparente simplicité de leur mission de promotion touristique se cache une réalité juridique souvent méconnue en matière de protection des données personnelles. La question de la responsabilité au regard du Règlement Général sur la Protection des Données soulève régulièrement des interrogations chez les élus et les secrétaires de mairie : qui est responsable des traitements de données collectées par l’office de tourisme ? La commune, l’intercommunalité, ou l’office lui-même ? Cette question, loin d’être purement théorique, engage la responsabilité des collectivités et peut avoir des conséquences significatives en cas de contrôle de la CNIL ou d’incident de sécurité. La réponse dépend directement de la forme juridique retenue pour l’office de tourisme, et cette diversité de situations crée une complexité que les petites structures territoriales peinent souvent à appréhender seules.
Les différentes formes juridiques des offices de tourisme et leurs implications
La législation française offre plusieurs possibilités d’organisation pour les offices de tourisme, et chaque forme juridique emporte des conséquences distinctes en matière de protection des données. Cette diversité reflète l’évolution historique de ces structures et les choix d’organisation territoriale propres à chaque territoire. Comprendre ces différentes configurations constitue le préalable indispensable à toute réflexion sur la conformité au RGPD.
La forme la plus simple et la plus traditionnelle reste le service municipal ou intercommunal en régie directe. Dans cette configuration, l’office de tourisme ne dispose d’aucune personnalité juridique propre. Il s’agit d’un service intégré à la collectivité, au même titre que les services d’état civil, d’urbanisme ou de la police municipale. Les agents qui y travaillent sont des agents publics territoriaux, et l’office fonctionne selon les règles de la comptabilité publique. Cette forme, particulièrement répandue dans les petites communes rurales, présente l’avantage de la simplicité administrative mais peut parfois manquer de souplesse dans la gestion quotidienne.
L’Établissement Public à caractère Industriel et Commercial, plus communément appelé EPIC, constitue une deuxième option fréquemment retenue. Cette forme juridique confère à l’office de tourisme une personnalité morale distincte de celle de la collectivité qui l’a créé. L’EPIC dispose ainsi de son propre budget, de ses propres organes de décision, et peut employer des agents sous différents statuts. Il demeure néanmoins rattaché à la collectivité publique, qui exerce sur lui un contrôle et qui généralement nomme son directeur. Cette autonomie relative permet une gestion plus souple tout en conservant un lien étroit avec la sphère publique. Les EPIC touristiques sont particulièrement présents dans les stations balnéaires et les destinations touristiques de taille moyenne.
L’association loi 1901 représente une troisième possibilité, issue d’une tradition ancienne où les acteurs privés du tourisme local souhaitaient s’impliquer dans la promotion de leur territoire. Dans cette configuration, l’office de tourisme fonctionne comme toute association, avec une assemblée générale, un conseil d’administration et un bureau. La collectivité territoriale y participe généralement à travers des subventions et une représentation au sein des instances dirigeantes, mais l’association conserve son autonomie juridique complète. Cette forme tend à se raréfier depuis la réforme introduite par la loi NOTRe et les évolutions législatives successives qui ont renforcé le rôle des collectivités dans le tourisme, mais elle subsiste encore dans certains territoires où les partenariats public-privé sont historiquement ancrés.
Enfin, certains territoires ont fait le choix de formes sociétaires plus complexes comme les Sociétés Publiques Locales ou les Sociétés d’Économie Mixte. Ces structures, moins fréquentes pour la gestion d’offices de tourisme, relèvent du droit commercial tout en maintenant un contrôle public fort. Elles permettent notamment de développer des activités commerciales importantes et de nouer des partenariats avec des acteurs privés dans un cadre juridique sécurisé.
Cette diversité de statuts juridiques n’est pas neutre au regard de la protection des données personnelles. Chaque configuration implique une répartition différente des responsabilités, des obligations spécifiques et des relations contractuelles adaptées. Un office en régie directe ne posera pas les mêmes questions juridiques qu’un EPIC ou qu’une association, alors même que leurs activités concrètes peuvent être parfaitement identiques.
Responsable de traitement, responsable conjoint ou sous-traitant : qualifier la relation
Le RGPD définit avec précision les rôles et responsabilités de chaque acteur impliqué dans le traitement de données personnelles. Cette qualification juridique détermine les obligations qui pèsent sur chacun et la répartition des responsabilités en cas de manquement. Pour les offices de tourisme, la question centrale consiste à déterminer si la structure agit comme responsable de traitement, comme responsable conjoint avec la collectivité, ou comme simple sous-traitant.
Le responsable de traitement est l’entité qui détermine les finalités et les moyens du traitement de données personnelles. Concrètement, c’est celui qui décide pourquoi collecter des données et comment les traiter. Il porte la responsabilité principale de la conformité et doit notamment tenir un registre des activités de traitement, désigner éventuellement un délégué à la protection des données, et répondre aux demandes d’exercice de droits des personnes concernées. Le responsable de traitement décide des politiques de conservation, des mesures de sécurité à mettre en œuvre et des éventuels destinataires des données.
Le responsable conjoint apparaît lorsque deux entités ou plus déterminent ensemble les finalités et les moyens d’un traitement. Cette situation de coresponsabilité implique que les deux structures partagent la responsabilité de la conformité et doivent organiser par un accord leurs relations, notamment la répartition de leurs obligations respectives et le point de contact pour les personnes concernées. La responsabilité conjointe ne signifie pas nécessairement une répartition égale des tâches, mais elle implique une responsabilité solidaire vis-à-vis des personnes dont les données sont traitées.
Le sous-traitant, quant à lui, traite des données pour le compte et sur instruction du responsable de traitement. Il ne détermine ni les finalités ni les moyens essentiels du traitement. Le sous-traitant a néanmoins des obligations propres depuis le RGPD, notamment en matière de sécurité et de confidentialité, et doit être lié au responsable de traitement par un contrat écrit définissant précisément l’objet et la durée du traitement.
Pour un office de tourisme en régie directe, la qualification est relativement simple. Dépourvu de personnalité juridique propre, le service touristique constitue simplement une composante de la collectivité. C’est donc la commune ou l’intercommunalité qui agit comme responsable de traitement unique pour l’ensemble des données collectées par l’office. Les fichiers de visiteurs, les newsletters touristiques, les réservations d’activités ou les données de fréquentation relèvent tous du registre de la collectivité. Le maire ou le président de l’intercommunalité porte la responsabilité de ces traitements au même titre que pour les autres services municipaux. Cette situation présente l’avantage de la clarté juridique, même si elle impose à la collectivité d’assumer pleinement toutes les obligations de conformité pour les activités touristiques.
Pour un EPIC, la situation se complexifie sensiblement. L’établissement public dispose de sa personnalité juridique propre et détermine lui-même, dans le cadre de ses missions statutaires, les modalités de collecte et de traitement des données nécessaires à son activité. L’EPIC agit donc en principe comme responsable de traitement autonome pour les données qu’il collecte dans l’exercice de ses missions. Il doit tenir son propre registre, désigner son propre délégué à la protection des données si les seuils sont atteints, et assumer ses obligations de conformité. Néanmoins, la situation n’est pas toujours aussi tranchée. Lorsque la collectivité de rattachement conserve un contrôle étroit sur certaines opérations de traitement ou lorsque les données sont collectées pour des finalités partagées, une situation de responsabilité conjointe peut apparaître. Par exemple, si l’EPIC collecte des données de satisfaction touristique qui serviront également à la collectivité pour définir ses politiques publiques, et que les deux entités déterminent ensemble les modalités de cette collecte, une coresponsabilité devra être envisagée. Cette qualification implique alors la rédaction d’un accord de responsabilité conjointe définissant le rôle de chacun.
L’association loi 1901 gestionnaire d’un office de tourisme se trouve dans une position encore différente. En tant que personne morale de droit privé distincte, l’association détermine librement ses activités dans le cadre de son objet statutaire. Elle agit donc en principe comme responsable de traitement autonome pour les données qu’elle collecte. La collectivité qui subventionne l’association n’est pas, par ce seul fait, coresponsable des traitements mis en œuvre. Toutefois, la réalité du terrain révèle souvent des situations plus nuancées. Lorsque la commune impose dans la convention de subvention des modalités précises de collecte de données, lorsqu’elle accède directement aux fichiers de l’association, ou lorsqu’elle détermine conjointement les finalités de certains traitements, la frontière devient poreuse et une situation de responsabilité conjointe peut émerger. La prudence commande alors de formaliser cette situation par un accord écrit.
Une erreur fréquemment constatée sur le terrain consiste à considérer automatiquement l’office de tourisme comme un simple sous-traitant de la collectivité. Cette qualification serait exacte si l’office se contentait d’exécuter des instructions précises de la collectivité sans aucune marge d’autonomie dans la détermination des finalités et des moyens. Or, dans la pratique, même lorsqu’il existe un lien étroit, l’office dispose généralement d’une autonomie suffisante pour déterminer comment collecter les données des visiteurs, comment animer sa communauté sur les réseaux sociaux, ou comment gérer ses fichiers de contacts professionnels. Cette autonomie décisionnelle exclut généralement la qualification de sous-traitant, sauf pour des prestations très spécifiques et limitées.
La qualification correcte de la relation entre l’office de tourisme et la collectivité territoriale constitue donc un exercice juridique délicat qui nécessite une analyse fine de la situation concrète. Cette qualification ne relève pas du choix arbitraire mais découle de la réalité des pratiques et du degré d’autonomie effectif de l’office. Se tromper dans cette qualification expose à des manquements dans l’organisation de la conformité et peut compliquer considérablement la gestion d’un éventuel incident.
Conséquences pratiques pour la mise en conformité
Une fois la qualification juridique établie, des conséquences pratiques très concrètes en découlent pour l’organisation quotidienne de la conformité au RGPD. Ces conséquences touchent aussi bien à la documentation obligatoire qu’aux relations contractuelles, en passant par la gestion des droits des personnes et la notification des violations de données.
Le registre des activités de traitement constitue la pierre angulaire de la conformité. Cet inventaire détaillé de tous les traitements de données mis en œuvre permet de cartographier les risques et de piloter la mise en conformité. Lorsque l’office fonctionne en régie directe, il n’existe qu’un seul registre, celui de la collectivité, qui doit intégrer l’ensemble des traitements de l’office de tourisme. Les fiches relatives aux newsletters touristiques, aux fichiers de visiteurs, aux données de billetterie ou aux statistiques de fréquentation viendront s’ajouter aux traitements relatifs à l’état civil, aux ressources humaines ou à la gestion financière. Cette centralisation facilite la vision globale mais peut rendre le registre volumineux dans les structures qui gèrent de nombreuses activités.
Pour un EPIC, la situation diffère radicalement. L’établissement doit tenir son propre registre, distinct de celui de la collectivité de rattachement. Ce registre autonome recense tous les traitements mis en œuvre par l’EPIC dans le cadre de ses missions. Cette obligation implique que l’EPIC mette en place une organisation interne de la conformité, désigne un référent ou un délégué à la protection des données selon la taille de la structure, et documente ses pratiques de manière autonome. Dans l’hypothèse où certains traitements relèvent d’une responsabilité conjointe avec la collectivité, ces traitements devront figurer dans les deux registres avec mention de la coresponsabilité et référence à l’accord qui organise cette relation.
L’association gestionnaire d’un office de tourisme se trouve dans une situation comparable à celle de l’EPIC. Elle doit tenir son registre propre et organiser sa conformité de manière autonome. La collectivité qui subventionne l’association ne peut se substituer à elle dans cette obligation, même si elle peut proposer un accompagnement ou une mutualisation des moyens dans le cadre de sa politique de soutien aux associations locales.
La question contractuelle revêt également une importance capitale. Lorsqu’existe une situation de responsabilité conjointe entre la collectivité et l’office de tourisme, le RGPD impose la conclusion d’un accord de responsabilité conjointe. Ce document, qui peut prendre la forme d’une convention ou d’un avenant aux conventions existantes, doit définir de manière transparente qui fait quoi en matière de protection des données. Il précise notamment quel coresponsable assure l’information des personnes, qui répond aux demandes d’exercice de droits, comment sont organisées les mesures de sécurité, et quelle est la répartition des responsabilités en cas de violation de données. L’essentiel de cet accord doit être porté à la connaissance des personnes concernées, généralement via les mentions d’information ou la politique de confidentialité.
Lorsque l’office de tourisme, quelle que soit sa forme juridique, fait appel à des prestataires externes pour certaines opérations de traitement, il doit veiller à encadrer ces relations par des contrats de sous-traitance conformes au RGPD. Ces situations sont fréquentes dans le secteur touristique : prestataires de solutions de billetterie en ligne, gestionnaires de newsletters, hébergeurs de sites internet, ou encore solutions de gestion de la relation client. Chacune de ces relations doit faire l’objet d’un contrat écrit précisant l’objet du traitement, sa durée, la nature des données, les obligations du sous-traitant en matière de sécurité et de confidentialité, et les conditions d’intervention d’éventuels sous-traitants ultérieurs. L’absence de tels contrats constitue un manquement fréquemment relevé lors des contrôles de la CNIL.
La gestion des droits des personnes représente un autre aspect pratique essentiel. Toute personne dont les données sont traitées dispose de droits qu’elle peut exercer à tout moment : droit d’accès à ses données, droit de rectification, droit à l’effacement dans certaines conditions, droit d’opposition, ou encore droit à la portabilité. L’organisation doit mettre en place des procédures permettant de répondre à ces demandes dans les délais légaux, généralement un mois. Lorsque existe une situation de responsabilité conjointe, l’accord entre les coresponsables doit préciser quel est le point de contact pour ces demandes et comment s’organise le traitement de ces sollicitations. Une personne inscrite à la newsletter de l’office de tourisme doit savoir clairement vers qui se tourner pour exercer ses droits, et l’organisation interne doit garantir que cette demande sera effectivement traitée même si elle implique une coordination entre plusieurs structures.
Enfin, la gestion des violations de données personnelles, ces incidents de sécurité qui peuvent affecter la confidentialité, l’intégrité ou la disponibilité des données, nécessite une organisation particulière en fonction de la configuration juridique. Lorsque l’office fonctionne en régie directe, tout incident doit être notifié à la CNIL par la collectivité, qui est le responsable de traitement. Pour un EPIC ou une association, c’est la structure elle-même qui doit procéder à cette notification si l’incident présente un risque pour les droits et libertés des personnes. Dans les situations de responsabilité conjointe, l’accord doit prévoir les modalités de coordination en cas d’incident, notamment qui procède à la notification et comment s’organise la communication vers les personnes affectées. Un défaut d’organisation sur ce point peut conduire à des retards de notification sanctionnables par la CNIL.
Ces conséquences pratiques démontrent que la mise en conformité au RGPD ne se limite pas à cocher des cases dans un registre. Elle implique une réflexion approfondie sur l’organisation, la documentation des pratiques et la mise en place de procédures opérationnelles adaptées à la configuration juridique particulière de chaque territoire.
Les zones grises et situations complexes
Au-delà des cas de figure théoriques, la réalité du terrain révèle de nombreuses situations qui ne se laissent pas facilement enfermer dans les catégories juridiques. Ces zones grises sont particulièrement fréquentes dans les petites structures territoriales où les évolutions historiques, les contraintes budgétaires et les partenariats locaux créent des configurations atypiques qui méritent une attention particulière.
Les évolutions statutaires des offices de tourisme constituent une première source de complexité. Un office initialement constitué en association peut être transformé en EPIC, ou un service municipal peut être externalisé dans une structure autonome. Ces transitions, parfois motivées par des considérations budgétaires ou par l’évolution de la législation, soulèvent des questions délicates en matière de protection des données. Que deviennent les fichiers de visiteurs constitués sous l’ancien statut ? Comment organiser le transfert des données personnelles d’une structure à l’autre sans violer les principes de finalité et de minimisation ? La collectivité qui externalise son office de tourisme doit anticiper ces questions et organiser contractuellement les modalités de transition. Une simple remise de fichiers sans réflexion préalable peut constituer une divulgation irrégulière de données personnelles. La prudence commande d’informer les personnes concernées de ce changement d’organisation et, dans certains cas, de recueillir leur consentement si les finalités ou les modalités de traitement évoluent significativement.
Les transferts de compétences entre communes et intercommunalités, fréquents depuis les différentes réformes territoriales, créent également des situations complexes. Lorsque la compétence tourisme passe d’une commune à une communauté de communes, l’office de tourisme municipal peut devenir intercommunal. Cette évolution implique non seulement un changement de responsable de traitement mais aussi souvent une modification profonde des finalités et de l’échelle territoriale des traitements. Les données collectées à l’échelle communale peuvent-elles être automatiquement reprises par l’échelon intercommunal ? Comment articuler les fichiers de plusieurs offices communaux qui fusionnent ? Ces questions ne trouvent pas de réponse univoque et nécessitent une analyse au cas par cas, en tenant compte des finalités initiales de collecte et des attentes légitimes des personnes concernées.
Les mutualisations de moyens entre collectivités et offices de tourisme constituent une autre zone de complexité. Dans un souci d’efficacité et d’économies d’échelle, certaines collectivités mutualisent des services supports avec leur office de tourisme. Le service informatique de la mairie peut ainsi gérer les systèmes d’information de l’EPIC touristique, ou le service communication communal peut assurer la gestion des réseaux sociaux de l’office. Ces pratiques, légitimes sur le plan de la gestion publique, brouillent les frontières en matière de protection des données. Le service informatique de la collectivité qui accède aux données de l’EPIC pour des opérations de maintenance agit-il comme sous-traitant de l’EPIC ? Comment documenter ces relations ? Ces situations nécessitent une formalisation contractuelle claire, généralement par le biais de conventions de prestations de services intégrant les clauses de sous-traitance au sens du RGPD.
Les prestations croisées entre structures soulèvent des questions similaires. Il n’est pas rare qu’un office de tourisme collecte pour le compte de la collectivité des données qui serviront à des finalités dépassant le cadre strictement touristique, ou inversement qu’une collectivité mette à disposition de son office des données issues d’autres services. Ces échanges doivent être encadrés avec rigueur. Chaque transmission de données entre structures juridiquement distinctes doit reposer sur une base légale claire, poursuivre une finalité déterminée et être documentée dans les registres respectifs. Le simple fait d’appartenir à la même famille publique ne suffit pas à justifier un accès libre et sans formalisme aux données.
La question des données touristiques partagées mérite également une attention particulière. Dans le cadre de leur mission de promotion territoriale, les offices de tourisme s’insèrent souvent dans des réseaux de partage de données à l’échelle départementale ou régionale. Les systèmes d’information touristiques, qui permettent de mutualiser les contenus relatifs aux hébergements, restaurants, sites de visite ou événements locaux, impliquent des flux de données complexes entre de nombreux acteurs. Lorsque ces données incluent des éléments à caractère personnel, ce qui est fréquemment le cas pour les informations relatives aux prestataires touristiques, la qualification des responsabilités devient particulièrement délicate. L’office de tourisme local qui alimente un système départemental agit-il comme responsable de traitement, comme responsable conjoint avec les autres contributeurs, ou comme simple contributeur ? Ces questions, souvent négligées lors de l’adhésion à ces plateformes, peuvent ressurgir de manière problématique en cas d’incident de sécurité ou de réclamation d’une personne concernée.
Ces situations complexes ne constituent pas des cas d’école mais reflètent la réalité quotidienne de nombreux territoires. Elles démontrent que la conformité au RGPD ne peut se résumer à l’application mécanique de recettes toutes faites. Elle nécessite une analyse fine de chaque situation particulière, une compréhension des enjeux juridiques et une capacité à traduire ces enjeux en solutions opérationnelles adaptées aux contraintes des petites structures.
Conclusion : l’accompagnement de proximité, clé d’une conformité réaliste
La protection des données personnelles dans le contexte des offices de tourisme révèle une complexité juridique qui dépasse largement ce que les apparences pourraient laisser croire. Derrière les brochures touristiques et l’accueil des visiteurs se cachent des enjeux de qualification juridique, de responsabilité et d’organisation de la conformité qui nécessitent une expertise spécifique. La forme juridique de l’office de tourisme détermine fondamentalement la répartition des responsabilités et les obligations de chacun, qu’il s’agisse d’un service en régie directe, d’un EPIC, d’une association ou d’une structure sociétaire.
Pour les maires et les secrétaires de mairie des petites communes et intercommunalités, ces questions peuvent sembler éloignées des préoccupations quotidiennes et des moyens disponibles. Pourtant, la méconnaissance de ces enjeux expose les collectivités à des risques réels en cas de contrôle ou d’incident. La CNIL a démontré à plusieurs reprises qu’elle n’hésite pas à sanctionner les manquements, y compris dans le secteur public, et les montants des amendes peuvent s’avérer particulièrement lourds pour des budgets communaux déjà contraints. Au-delà de l’aspect financier, c’est la confiance des administrés et des visiteurs qui peut être affectée par une gestion approximative des données personnelles.
Face à cette complexité, la tentation peut être grande de reporter les démarches de mise en conformité ou de se contenter d’une documentation minimale sans réelle appropriation des enjeux. Cette approche présente pourtant des dangers considérables. La protection des données n’est pas qu’une contrainte administrative supplémentaire, elle constitue un élément fondamental du respect dû aux citoyens et aux usagers des services publics. Elle s’inscrit dans une évolution plus large de l’exigence de transparence et de responsabilité que la société attend légitimement de ses institutions.
La réponse à ces défis ne peut être univoque. Chaque territoire présente ses particularités, son histoire, son organisation propre. Les solutions standardisées, aussi séduisantes soient-elles par leur apparente simplicité, ne peuvent répondre à cette diversité de situations. Ce dont les petites collectivités ont besoin, c’est d’un accompagnement qui comprend leurs contraintes, qui parle leur langage, et qui propose des solutions réalistes et proportionnées à leurs moyens. Un accompagnement qui ne se contente pas de livrer des registres préformatés ou des politiques de confidentialité génériques, mais qui prend le temps d’analyser la situation concrète, d’identifier les véritables risques, et de construire progressivement une conformité pérenne.
C’est précisément cette approche que développe Etatys dans son accompagnement des communes et intercommunalités en matière de protection des données. Fort d’une connaissance approfondie des réalités du terrain et des contraintes spécifiques des petites structures territoriales, Etatys propose un accompagnement de proximité qui privilégie le pragmatisme et la progressivité. Plutôt que d’imposer des obligations théoriques déconnectées des moyens disponibles, l’approche d’Etatys consiste à construire avec les équipes municipales un chemin de mise en conformité adapté, qui prend en compte les priorités, les ressources et les particularités de chaque territoire. Pour les questions complexes relatives aux offices de tourisme et à la qualification des responsabilités, cet accompagnement permet de démêler les situations les plus enchevêtrées et de mettre en place les bonnes pratiques documentaires et organisationnelles.
Si vous êtes maire, élu délégué au tourisme, ou secrétaire de mairie confronté à ces questions de protection des données dans le contexte de votre office de tourisme, si vous vous interrogez sur la qualification juridique de votre relation avec cette structure ou sur les obligations qui vous incombent concrètement, n’hésitez pas à prendre contact avec Etatys. Un premier échange permettra de faire le point sur votre situation particulière, d’identifier les éventuels points de vigilance, et de définir ensemble les priorités d’action. Parce que la conformité au RGPD ne doit pas être un fardeau insurmontable mais un processus progressif et accompagné, Etatys se positionne comme votre partenaire de proximité pour construire une protection des données efficace et adaptée aux réalités de votre territoire.
Contactez-nous dès aujourd’hui et faisons ensemble du RGPD et de la cybersécurité des atouts pour votre collectivité.
Avec Etatys, soyez sûr d’être prêts.
Page mise à jour : Mars/2026