Conformité2026-04-099 min lecture

RGPD freelance 2026 : obligations + checklist + sanctions CNIL

Le RGPD s'applique à tous les freelances et indépendants, peu importe leur taille. 8 obligations majeures, checklist 12 actions concrètes, sanctions CNIL jusqu'à 4% du CA mondial. Comment être conforme sans devenir juriste.

TL;DR

RGPD applicable à tous (auto-entrepreneur solo inclus dès qu'il y a 1 fichier client).
8 obligations : registre traitements, info personnes, sécurité, DPA sous-traitants, etc.
Sanctions CNIL : jusqu'à 20M€ ou 4% CA mondial annuel.
Mise en demeure = délai correction (1-3 mois) avant amende.

1. Le RGPD s'applique-t-il vraiment au freelance ?

Oui, sans exception. Dès qu'un freelance/indépendant traite des données personnelles (nom, email, téléphone, adresse client/prospect), même solo, même AE, le RGPD s'applique.

Confusion fréquente : le RGPD n'est pas réservé aux grandes entreprises. Ce qui change selon la taille :

DPO (Délégué Protection Données) obligatoire seulement si traitements à grande échelle / sensibles
Analyse impact (DPIA) obligatoire seulement pour traitements à risque élevé
Le reste des obligations = pour tout le monde (registre, sécurité, info, etc.)

2. 8 obligations RGPD freelance

Tenir un registre des traitements

Liste de tous les traitements de données (clients, prospects, fournisseurs, salariés)

Information des personnes

Politique confidentialité accessible (mentions légales, formulaire contact, footer)

Recueil consentement

Pour newsletter, cookies non essentiels, prospection commerciale (B2C surtout)

Sécurité des données

Mots de passe robustes, chiffrement (TLS), sauvegarde, accès restreint

Droits des personnes

Procédure pour : accès, rectification, suppression, portabilité, opposition

Notification violation

CNIL + personnes concernées sous 72h en cas de fuite/incident

DPA avec sous-traitants

Contrat sous-traitance art. 28 RGPD avec chaque outil traitant données (Stripe, Resend, OpenAI)

Privacy by design

Minimisation données collectées + durée conservation limitée

3. Registre des traitements (obligation #1)

Document central listant tous les traitements de données. Modèle simple acceptable (Excel/Google Sheets).

Colonnes obligatoires registre

Nom du traitement (ex: "Gestion clients facturation")
Finalité (ex: "Émettre factures, gérer la relation commerciale")
Base légale (consentement, contrat, intérêt légitime, obligation légale)
Catégories de personnes concernées (clients, prospects, fournisseurs, salariés)
Catégories de données (identité, contact, financières, professionnelles)
Destinataires (interne, sous-traitants : Stripe, Resend...)
Transferts hors UE (oui/non, si oui : justification)
Durée de conservation
Mesures de sécurité (chiffrement, accès restreint, sauvegardes)

Exemple ligne registre

Traitement : Gestion clients et facturation
Finalité : Émettre devis/factures, conservation comptable
Base légale : Contrat (exécution prestation) + obligation légale (10 ans)
Personnes : Clients (B2B et B2C)
Données : Nom, email, adresse, SIRET (si B2B), historique factures
Destinataires : Plune (sous-traitant), comptable (sous-traitant)
Hors UE : Non (Plune hébergement EU)
Durée : 10 ans (obligation comptable Code commerce L123-22)
Sécurité : Mot de passe fort, 2FA, TLS, sauvegarde quotidienne

4. DPA avec sous-traitants (obligation #7)

Article 28 RGPD : tout sous-traitant qui traite vos données client (Stripe, hébergeur, outil email, etc.) doit avoir un DPA (Data Processing Agreement) signé avec vous.

Heureusement, les grands acteurs proposent des DPA standards :

Stripe (paiement)

Stripe Data Processing Agreement

Paiement clients, B2B/B2C

Resend (email)

Resend DPA

Envoi factures, relances email

OpenAI (transcription voix)

OpenAI Enterprise DPA

Whisper API, GPT-4 (Plune voix → devis)

Vercel (hébergement)

Vercel DPA

Frontend, API routes

Supabase (DB + auth)

Supabase DPA

PostgreSQL, authentification

Plune

Plune DPA conforme art. 28

Devis, factures, signature, archivage

5. Checklist 12 actions concrètes

À cocher pour être conforme RGPD en tant que freelance/indépendant :

Politique de confidentialité publiée sur votre site (page /legal/confidentialite)
Mentions légales conformes (SIRET, hébergeur, contact CNIL)
Bannière cookies si vous utilisez Google Analytics, Meta Pixel, etc.
Registre des traitements à jour (fichier Excel ou outil dédié)
DPA signés avec sous-traitants (Stripe, Resend, OpenAI, hébergeur)
Procédure pour répondre aux demandes RGPD sous 1 mois max
Mots de passe forts + 2FA activé sur outils pro
Hébergement EU vérifié pour données personnelles
Durée conservation définie par catégorie (clients 3 ans, prospects 3 ans, factures 10 ans)
Formation rapide (2h) sur vos obligations RGPD
Backup chiffré + plan de réponse incident
Information clients sur droits RGPD (ajout footer email + factures)

6. Droits des personnes (obligation #5)

Vous devez pouvoir répondre dans 1 mois maximum aux demandes des personnes concernées :

Droit d'accès : leur fournir copie de leurs données
Droit de rectification : corriger données inexactes
Droit à l'effacement ("droit à l'oubli") : supprimer si justifié
Droit à la portabilité : fournir données en format réutilisable (JSON/CSV)
Droit d'opposition : arrêter prospection commerciale
Droit limitation : geler temporairement traitement

Procédure recommandée : créer un email type rgpd@tonentreprise.fr (ou juste contact@) + procédure interne sous 1 mois.

7. Violation de données : que faire ?

Si fuite/perte/accès non autorisé :

0-72h : notification CNIL via cnil.fr (formulaire en ligne)
0-72h : notification personnes concernées si risque élevé pour leurs droits
Documenter : nature violation, données concernées, mesures prises
Mettre fin à la fuite (changement mots de passe, isolation système, etc.)
Mesures correctives : audit sécurité, formation, etc.

Sanction non-notification : majoration jusqu'à 200% de l'amende initiale.

8. Sanctions CNIL 2026

Type sanction	Montant max	Détail
Sanction administrative max	20 millions € OU 4% CA mondial annuel	Le plus élevé des deux (art. 83 RGPD)
Sanction réduite (catégorie 1)	10 millions € OU 2% CA	Manquements documentation/coopération
Mise en demeure CNIL	0€ initial	Délai correction (1-3 mois) avant amende
Avertissement public	Réputationnel	Publication décision sur cnil.fr

En pratique pour freelance : la CNIL commence presque toujours par un avertissement / mise en demeure (délai 1-3 mois pour corriger). L'amende n'arrive qu'après non-réponse ou récidive.

9. 7 erreurs fréquentes

Croire qu'auto-entrepreneur solo n'est pas concerné par RGPD (faux : tout traitement même 1 fichier client = RGPD)

Pas de DPA avec sous-traitants → en cas de fuite, responsabilité 100% sur vous

Stocker mots de passe clients en clair (interdiction absolue, hash + sel obligatoire)

Garder données ex-clients indéfiniment (durée conservation à définir : 3 ans en général)

Pas de bannière cookies si vous utilisez Google Analytics standard (consentement requis)

Confondre RGPD et secret professionnel (ce sont 2 régimes complémentaires)

Ignorer CNIL en cas d'incident → sanctions multipliées par 2-3 si non-coopération

10. Cas particuliers

Données sensibles (santé, opinion, religion)

Catégories spéciales (art. 9 RGPD). Interdiction de traitement sauf consentement explicite ou exception (médecin, etc.). Concerné : kinés, médecins, psychologues.

Mineurs (-15 ans)

Consentement parents obligatoire pour traitement données mineur. Concerné : coachs sportifs jeunes, formations en ligne ouvertes mineurs, etc.

Prospection commerciale B2B vs B2C

B2B : intérêt légitime suffit (mais opt-out facile obligatoire)
B2C : consentement explicite préalable obligatoire (opt-in)

11. Comment Plune respecte le RGPD

Hébergement EU exclusif (Supabase Frankfurt + Vercel Frankfurt)
Chiffrement TLS en transit + chiffrement au repos
DPA Plune conforme art. 28 RGPD signé automatiquement à l'inscription
Droits utilisateurs : export complet, droit à l'oubli, portabilité (1 clic depuis settings)
Pas de cookies tiers ni trackers publicitaires (Vercel Analytics anonyme uniquement)
Notification incident < 72h en cas de violation (engagement contractuel)
Audit sécurité annuel ISO 27001 (en cours de certification)

Plune RGPD-compliant by design

Hébergement EU + DPA art. 28 + droits utilisateurs (export, oubli, portabilité) + chiffrement TLS. Vous pouvez vous concentrer sur votre métier, pas la conformité. Essai 15j gratuit sans CB.

Tester Plune 15j gratuit

Ressources liées

← Retour au blog