Marie web Whatsapp
Blog
Google Apps Script De fonctionnaire à assistante web Metricool

5 conseils pour être en conformité RGPD

Juridique & Conformité

Conformité RGPD pour indépendants : 5 actions concrètes à faire dès maintenant

Marie Pelecq 🕑 7 min de lecture Juridique · Outils numériques · CNIL
⚡ Ce que tu vas trouver ici

Le RGPD s'applique à toute structure qui collecte des données personnelles de résidents européens, y compris les micro-entrepreneurs, coachs et thérapeutes. Les obligations sont proportionnées à la taille de ton activité : pas besoin d'avocat ni de DPO.

Le registre des traitements est obligatoire même pour les indépendants. La checklist PDF est disponible à télécharger en bas de cet article.

Le RGPD fait peur à beaucoup d'entrepreneurs, souvent parce qu'on en parle avec du jargon incompréhensible et des menaces de sanctions. La réalité, c'est que quelques actions concrètes suffisent à mettre une activité de taille modeste en ordre. Voici les 5 points que j'applique pour mes clients et pour moi-même.

Entré en vigueur le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) s'applique à toute structure qui collecte ou traite des données personnelles de résidents européens, quelle que soit sa taille. Oui, ça inclut les micro-entrepreneurs, les coachs qui ont une liste email, les thérapeutes qui prennent des RDV en ligne.

La CNIL l'a confirmé dans ses guides dédiés aux TPE/PME : les obligations sont proportionnées à la taille et aux risques de ton activité. Pas besoin d'un délégué à la protection des données (DPO) si tu gères seul(e) un site vitrine et une newsletter.

1. Fais l'inventaire des données que tu collectes réellement

Avant toute action, il faut savoir ce que tu collectes, où ça part, et pourquoi. C'est ce que le RGPD appelle le registre des activités de traitement (article 30). Ce registre est obligatoire quelle que soit la taille de ton activité : l'exemption prévue pour les structures de moins de 250 salariés ne s'applique pas dès lors que les traitements sont réguliers (newsletter, clients, formulaire de contact), ce qui est le cas de la quasi-totalité des indépendants. La bonne nouvelle : il peut tenir sur un simple tableau.

Pour chaque traitement (formulaire de contact, newsletter, facturation, RDV en ligne), note :

  • La finalité : pourquoi tu collectes ces données ?
  • Les catégories de données : email, nom, téléphone, informations de santé
  • La durée de conservation prévue
  • Les sous-traitants impliqués : Mailchimp, Calendly, Stripe, hébergeur
📍 Bon à savoir

La CNIL met à disposition un modèle de registre téléchargeable gratuitement. C'est le meilleur point de départ pour ne rien oublier. Ce travail te prend 1 à 2 heures la première fois.

Chaque semaine dans ma newsletter : un outil testé, un conseil concret pour ton activité en ligne.

Rejoindre la newsletter

2. Rédige ou mets à jour ta politique de confidentialité

Le RGPD impose d'informer clairement les personnes de la façon dont leurs données sont utilisées, dès la collecte (article 13). Cette page doit être accessible depuis toutes les pages de ton site, classiquement dans le pied de page.

Elle doit obligatoirement mentionner :

  • Ton identité et tes coordonnées en tant que responsable de traitement
  • Les finalités et la base juridique de chaque traitement
  • La durée de conservation des données
  • Les éventuels transferts hors UE
  • Les droits des personnes : accès, rectification, suppression, opposition
  • Le droit de déposer une réclamation auprès de la CNIL

Je conseille toujours à mes clients de relire leur politique une fois par an. Un outil change, un partenaire commercial aussi, et la politique doit suivre.

Marie Pelecq, assistante web

Les bases juridiques les plus courantes pour une petite activité : le consentement (newsletter), l'exécution d'un contrat (facturation), et l'intérêt légitime (statistiques de site). Chaque traitement peut avoir sa propre base.

3. Gère correctement les cookies sur ton site web

Depuis les délibérations de la CNIL de 2020 et 2022, la règle est claire : aucun cookie non essentiel ne peut être déposé avant que la personne ait donné son accord explicite. "Continuer à naviguer" ne vaut pas consentement.

Sont soumis à consentement : Google Analytics, les pixels de réseaux sociaux (Meta Pixel, LinkedIn Insight Tag), les cookies publicitaires. Sont exemptés : les cookies de session, de panier d'achat, et certaines mesures d'audience en configuration allégée.

✦ Mettre en place un bandeau cookies conforme
  1. Choisir une solution CMP : Axeptio, Didomi ou Cookiebot proposent des formules gratuites adaptées aux petites structures.
  2. Lister tous les cookies déposés sur ton site : l'extension navigateur "Cookie editor" permet de les identifier rapidement.
  3. Refus aussi simple que l'acceptation : exigence explicite de la CNIL, le bouton "Refuser tout" doit être aussi visible que "Accepter tout".
  4. Bloquer le dépôt des cookies avant le consentement : la plupart des CMP le font automatiquement. Vérifie que c'est bien activé.
  5. Mentionner les cookies dans ta politique de confidentialité : ou créer une page "Politique de cookies" dédiée, liée depuis le bandeau.

4. Encadre tes outils tiers avec des contrats de traitement des données

Dès que tu utilises un outil tiers qui traite des données pour ton compte, tu es responsable de traitement et cet outil est ton sous-traitant. Le RGPD (article 28) impose qu'un contrat encadre cette relation : le DPA (Data Processing Agreement).

La bonne nouvelle : les grandes plateformes SaaS proposent déjà ces contrats dans leurs CGU. Tu n'as pas à les rédiger toi-même.

Outil Type de données traitées DPA disponible
Mailchimp / Brevo Emails, prénoms Oui, dans les CGU
Stripe Données de paiement Oui, dans les CGU
Calendly / Cal.com Nom, email, RDV Oui, dans les CGU
Google Analytics Données comportementales Oui (Google Workspace)
Hébergeur web Logs serveur A vérifier dans ton contrat
📍 Bon à savoir

Si un outil est basé hors de l'UE (notamment aux États-Unis), vérifie qu'il s'appuie sur les clauses contractuelles types (CCT) ou qu'il adhère au EU-U.S. Data Privacy Framework (en vigueur depuis juillet 2023). Google, Mailchimp et Stripe y adhèrent, mais c'est à toi de le vérifier pour chaque prestataire.

5. Respecte les droits des personnes et organise les réponses

Le RGPD accorde aux personnes dont tu détiens les données un ensemble de droits qu'elles peuvent exercer à tout moment. Tu as l'obligation de répondre dans un délai d'un mois (article 12).

  • Droit d'accès : la personne peut demander quelles données tu détiens sur elle
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : supprimer les données dans certains cas
  • Droit à la limitation du traitement : geler l'utilisation des données
  • Droit d'opposition : s'opposer à un traitement ou à de la prospection
  • Droit à la portabilité : récupérer ses données dans un format lisible

Pour une petite activité, une adresse email dédiée (ex. confidentialite@monsite.fr), mentionnée dans ta politique, suffit à centraliser les demandes.

📍 Bon à savoir

Le désabonnement email est une forme d'exercice du droit d'opposition. Assure-toi que le lien de désinscription fonctionne et que la suppression est effective dans ton outil d'emailing dans un délai raisonnable.

Récapitulatif : les 5 actions RGPD dans l'ordre de priorité

✦ Le plan d'action complet
  1. Auditer les données collectées : remplis le registre des activités de traitement avec le modèle CNIL. 2h maximum pour une activité solo.
  2. Rédiger ou mettre à jour la politique de confidentialité : accessible depuis toutes les pages du site, couvrant tous les traitements identifiés.
  3. Installer un bandeau cookies conforme : refus aussi simple que l'acceptation, blocage effectif avant consentement. Axeptio ou Cookiebot en formule gratuite.
  4. Vérifier les DPA de tes outils tiers : pour chaque outil SaaS utilisé, localise et conserve l'accord de traitement dans ton dossier de conformité.
  5. Prévoir une procédure pour les droits des personnes : une adresse email dédiée mentionnée dans ta politique suffit pour démarrer.

Ces 5 actions couvrent les bases essentielles pour une activité de taille modeste et réduisent significativement le risque d'une mise en demeure de la CNIL. Pour aller plus loin, le guide RGPD pour les TPE/PME de la CNIL est la ressource de référence, gratuite et en français.

📄
Checklist gratuite
Checklist RGPD — 5 actions à cocher
La checklist complète à imprimer ou garder sur ton bureau. Cases à cocher et rappels clés pour chaque étape.
Télécharger la checklist PDF

Tu veux d'autres ressources pratiques comme celle-ci ? Chaque vendredi, un outil testé et un conseil concret dans ta boîte mail.

Rejoindre la newsletter

Tu veux d'autres ressources
pour ton activité en ligne ?

Chaque semaine dans ma newsletter : un outil testé, un conseil concret.

Rejoindre la newsletter →

Derniers articles