Retour au blog
RGPDRGPD14 mai 20269 min de lecture

RGPD pour auto-entrepreneurs : les obligations cachées que la plupart ignorent avant les sanctions de 2026

par Tony Bonnay · fondateur Velvyno

En 2023, la CNIL a reçu 16 433 plaintes — un volume en hausse de près de 50 % depuis l'entrée en vigueur du RGPD en 2018 (source : CNIL, données ouvertes sur data.gouv.fr). La même année, la procédure de sanction simplifiée créée par décret n°2022-517 a connu sa première vraie montée en charge : 24 amendes prononcées contre 18 en procédure ordinaire. Et les montants ont triplé en 2024 pour atteindre 715 500 € rien que sur cette procédure (source : CNIL, dataset Sanctions prononcées par la CNIL).

Pendant ce temps, la majorité des articles disponibles sur le sujet continue d'expliquer aux auto-entrepreneurs l'inverse : « Trop petit, pas concerné, pas de DPO obligatoire. » Cette posture repose sur une confusion centrale : ne pas avoir besoin d'un DPO ne signifie pas être hors RGPD. L'obligation de nommer un Délégué à la Protection des Données (RGPD art. 37) ne s'applique qu'à des cas précis. Les neuf autres obligations du règlement — information, registre, base légale, sécurité, droits des personnes, sous-traitants — s'appliquent à toute personne qui collecte des données personnelles dans un cadre professionnel.

Cet article explique sans jargon : les cinq traitements que vous faites sans le savoir, les quatre obligations qui s'appliquent vraiment à un solo, ce qui tombe concrètement en 2026, et la checklist d'actions à faire avant fin d'année.

Sommaire

Vous êtes responsable de traitement, même si vous êtes seul(e)

« Le RGPD ? Bien sûr j'y pense ! J'ai mis un cookie banner et je dis "vos données ne seront pas partagées" sur mon site. » C'est la réponse de Marie, coach de vie certifiée en micro-entreprise, 22 000 € de CA annuel, 300 contacts dans Mailchimp. Et c'est insuffisant.

Le RGPD repose sur une notion centrale (RGPD art. 4.7) : le responsable de traitement, c'est la personne — physique ou morale — qui décide pourquoi et comment des données personnelles sont collectées et utilisées. Vous êtes responsable de traitement dès que vous tenez un fichier clients, envoyez une newsletter, ou recueillez un email via un formulaire. La taille de votre entreprise n'entre pas dans la définition. Un freelance avec trois clients est tout aussi responsable qu'un groupe avec 30 000 salariés.

La confusion vient de l'article 37, qui impose un Délégué à la Protection des Données (DPO) uniquement dans trois cas : autorité publique, traitement à grande échelle de données sensibles, ou suivi régulier et systématique des personnes à grande échelle. Pour 95 % des auto-entrepreneurs, aucun de ces cas ne s'applique — pas besoin de DPO. Mais les autres obligations restent.

Concrètement pour Marie : son mailing list de 300 contacts, son formulaire de contact, son Calendly, ses témoignages publiés avec photo, ses factures clients archivées dix ans — sont autant de traitements. Le RGPD lui demande de les encadrer, pas de les supprimer.

Le calendrier RGPD : pourquoi 2026 amplifie tout

Le RGPD est applicable depuis le 25 mai 2018. Il n'y a donc pas de "deadline 2026" au sens strict pour le RGPD lui-même — il est déjà en vigueur depuis huit ans. Mais 2026 marque une convergence d'événements qui amplifie mécaniquement la pression sur les indépendants.

1ᵉʳ septembre 2026 — Facture électronique obligatoire. Toutes les entreprises assujetties à la TVA (y compris en franchise) doivent être capables de recevoir une facture électronique. Cela introduit de nouvelles données structurées (identité, montants, références) qui transitent par une Plateforme Agréée. La PA devient automatiquement votre sous-traitante au sens RGPD art. 28 — avec DPA à signer.

2 août 2026 — AI Act obligations déployeur. Si vous utilisez un chatbot IA sur votre site, ou un outil intégrant de l'IA (Notion AI, Calendly avec assistant, Mailchimp avec recommandations IA), vous devenez déployeur au sens du Règlement UE 2024/1689. L'article 50 impose l'information explicite des utilisateurs — qui se combine au devoir d'information RGPD art. 13.

Montée en charge des contrôles CNIL. Avec 16 433 plaintes reçues en 2023 (vs 11 077 en 2018) et l'automatisation croissante de la procédure simplifiée, la probabilité qu'un solo soit contrôlé augmente chaque année. Pour Marie, ces trois échéances se cumulent sur les six prochains mois.

Les 5 traitements que vous faites (sans le savoir)

Voici les cinq traitements qu'un coach indépendant comme Marie effectue au quotidien — chacun avec sa base légale (RGPD art. 6) et l'obligation qui en découle.

1. Mailing list (Mailchimp, Brevo, Sendinblue). 300 contacts collectés via formulaire ou import = traitement automatisé. Base légale : consentement (art. 6.1.a) + L.34-5 CPCE pour la prospection commerciale par email. Obligation : case de consentement non pré-cochée, mention de la finalité, lien de désinscription dans chaque email.

2. Formulaire de contact du site web. Chaque message reçu = traitement. Base légale : mesures précontractuelles (art. 6.1.b) si l'objet est un devis, ou intérêt légitime (art. 6.1.f) sinon. Obligation : indiquer en clair pourquoi vous collectez, combien de temps vous gardez, à qui c'est transmis.

3. Calendly ou fichier de rendez-vous. Nom + email + créneau d'un client futur = traitement. Base légale : exécution contractuelle (art. 6.1.b). Obligation : vérifier que Calendly est inscrit dans votre registre comme sous-traitant (art. 28), et que son hébergement de données est documenté.

4. Témoignages clients avec photo + prénom publiés. Trois témoignages sur la page d'accueil = traitement majeur (donnée biométrique au sens large + identité). Base légale : consentement explicite et écrit (art. 6.1.a + art. 7). Obligation : conserver la preuve écrite du consentement, indiquer une durée de publication, permettre le retrait.

5. Factures clients archivées 10 ans. Nom, adresse, montant, prestation = traitement à durée longue. Base légale : obligation légale (art. 6.1.c) — l'article L.123-22 du Code de commerce impose 10 ans de conservation. Obligation : stockage sécurisé, accès limité, suppression effective au bout des 10 ans.

Pour Marie, ces cinq traitements existent sans avoir jamais été listés ou documentés. Et c'est précisément ce que l'article 30 du RGPD lui demande de faire.

Les 4 obligations qui s'appliquent vraiment à un solo

Le RGPD compte plus de 50 obligations applicables aux entreprises. Pour un solo sans DPO, quatre seulement sont non négociables — et toutes les autres en découlent.

1. Tenir un registre simplifié des traitements (art. 30). Pas un dossier juridique de 40 pages : un tableau de 5 lignes, une par traitement (les cinq de la section précédente). Pour chaque traitement : finalité, données collectées, durée de conservation, sous-traitants impliqués, mesures de sécurité. La CNIL publie un modèle de registre simplifié pour les TPE — utilisable tel quel.

2. Informer les personnes concernées (art. 13-14). Pas un bandeau cookies : une politique de confidentialité écrite, accessible depuis votre site, qui explique en français clair qui vous êtes, ce que vous collectez, pourquoi, combien de temps, et comment exercer ses droits. 1 à 2 pages suffisent pour un solo.

3. Avoir une base légale par traitement (art. 6). Six bases possibles : consentement, contrat, obligation légale, sauvegarde vitale, mission d'intérêt public, intérêt légitime. Vous devez choisir une de ces six cases pour chacun de vos traitements. Sans base légale, le traitement est illégal — même s'il paraît anodin.

4. Sécuriser raisonnablement les données (art. 32). Pas un SOC2 niveau bancaire : des mesures proportionnées à votre activité. Mots de passe forts, authentification à deux facteurs sur les outils sensibles (Mailchimp, banque, comptabilité), chiffrement du disque de votre ordinateur, sauvegarde régulière, mise à jour des logiciels.

Ce qui n'est pas obligatoire pour Marie : DPO (art. 37, hors champ), analyse d'impact AIPD (art. 35), réservée aux traitements à risque élevé, correspondant nommé, audit annuel. Si un article vous le vend comme obligatoire pour un auto-entrepreneur, il est dans l'erreur.

Le scénario "je ne fais rien" : que se passe-t-il vraiment ?

Reprenons Marie, et déroulons ce qui se passe si elle ignore les obligations qui s'appliquent à elle.

Mai 2026. Marie reçoit un email d'une ancienne cliente : « Bonjour, j'ai été cliente il y a deux ans, pouvez-vous supprimer toutes mes données ? » — c'est l'exercice du droit à l'effacement (RGPD art. 17). Marie réalise qu'elle ne sait pas où sont ces données : Mailchimp ? Notion ? Le fichier Excel sur son MacBook ? Le PDF de la dernière facture sur Google Drive ? Le carnet d'adresses iCloud ? Elle passe deux soirées à chercher, supprime ce qu'elle trouve, ne répond à la cliente qu'au bout de trois semaines — au-delà du délai d'un mois imposé par l'art. 12.3. La cliente, mécontente, dépose une plainte CNIL : formulaire en ligne sur cnil.fr, cinq minutes.

Septembre 2026. Sur la page d'accueil de Marie, un témoignage publié depuis 2024 : « Marie m'a transformée — Camille, 34 ans » avec une photo. Un consultant RGPD repère le témoignage et partage la capture d'écran sur LinkedIn (« exemple typique de traitement sans base légale écrite »). 200 likes, 1 200 vues dans le réseau local de Marie. Deux prospects qui hésitaient annulent leur consultation découverte (payante, 70 €/séance) sans donner de raison. Perte immédiate : 140 €. Mais surtout, ces deux prospects auraient probablement signé un forfait d'accompagnement à 6 séances × 70 € = 420 € chacun. LTV perdue estimée sur 12 mois : ~980 €.

Mars 2027. La CNIL clôt l'instruction de la plainte initiale. Procédure simplifiée (LIL 78-17 art. 22-1, créée par décret 2022-517). Marie a manqué trois obligations : (a) répondre dans le délai d'un mois à la demande d'effacement (art. 12.3), (b) informer préalablement de l'usage des données (art. 13), (c) documenter la base légale du témoignage publié (art. 6 + 7). La sanction tombe : entre 3 000 € et 8 000 € selon les cas similaires observés en 2024 — le plafond procédure simplifiée est de 20 000 €, mais la CNIL applique des fourchettes graduées selon la gravité. Et la décision est publiée sur cnil.fr, référencée par Google, visible des prospects qui googleront son nom.

Le vrai coût n'est pas l'amende. C'est la perte de confiance dans un métier où la réputation se construit un témoignage à la fois — et où une recherche Google peut désormais aboutir sur une décision CNIL nominative.

Les sanctions concrètes : ce qui tombe vraiment sur un solo

Beaucoup d'articles agitent le chiffre de 4 % du chiffre d'affaires mondial (RGPD art. 83.5). Précisons : c'est le plafond maximum, appliqué aux GAFAM dans des dossiers exceptionnels (Meta, Amazon, Google). Pour un solo, la réalité est très différente.

Depuis le décret 2022-517, la CNIL dispose d'une procédure simplifiée (LIL 78-17 art. 22-1) calibrée pour les dossiers non complexes : un seul rapporteur, pas de séance publique, amende plafonnée à 20 000 €. C'est ce canal qui s'applique majoritairement aux indépendants et TPE.

Les chiffres CNIL parlent d'eux-mêmes : la procédure simplifiée a démarré en 2022 (4 sanctions), explosé en 2023 (24 sanctions, dépassant les 18 sanctions ordinaires), et triplé en montants en 2024 (715 500 € contre 229 500 € en 2023). Et la cadence accélère encore : la CNIL a prononcé 69 sanctions en procédure simplifiée sur l'année 2024 (×2,9 vs 2023), pour un montant moyen de ~10 370 € par sanction. Tendance claire : la CNIL industrialise les sanctions ciblées contre les petites structures qui ne respectent pas leurs obligations basiques.

Pour Marie, le calcul honnête : si elle cumule trois manquements documentés (réponse tardive, défaut d'information, base légale absente), elle s'expose à une fourchette 3 000 € à 8 000 € en procédure simplifiée — soit 15 à 40 % de son CA annuel. Au-delà, il faudrait un facteur aggravant (mauvaise foi, données sensibles, refus de coopérer) pour atteindre le plafond.

Pour la prospection commerciale spécifiquement, l'article L.34-5 du CPCE ajoute des sanctions propres prononcées par la DGCCRF — amendes administratives plafonnées à 75 000 € pour une personne physique et 375 000 € pour une personne morale (plafonds globaux par dossier, pas par envoi). En pratique, la CNIL prononce aussi des sanctions sur ce fondement combiné au RGPD (procédure simplifiée jusqu'à 20 000 € pour un solo). Marie qui envoie une newsletter à des contacts collectés sans consentement explicite cumule potentiellement les deux régimes.

Au-delà du RGPD : facture-é et AI Act à anticiper

Le RGPD n'est pas une obligation isolée. Pour un auto-entrepreneur, il s'inscrit dans un trio d'obligations qui convergent en 2026-2027 — et qui se renforcent mutuellement.

  • RGPD — Registre, base légale, droits des personnes (détaillé ci-dessus).
  • Facture électronique — Votre future Plateforme Agréée stocke des données clients pour vous : elle devient sous-traitante au sens RGPD art. 28. Vous devez signer un DPA avec elle, vérifier son hébergement (UE de préférence), et l'inscrire dans votre registre. Détail complet : Facture électronique 2026 pour auto-entrepreneurs.
  • AI Act art. 50 — Si vous utilisez un chatbot IA sur votre site ou un assistant IA pour rédiger vos contenus, vous devez l'indiquer explicitement dès le 2 août 2026. Cette obligation pèse sur le déployeur — donc sur vous, même si vous n'avez fait que vous abonner à un service. Détail : notre guide AI Act pour TPE et PME.

Ces trois obligations traitent des mêmes données clients sous trois angles complémentaires. Les anticiper ensemble divise par trois la charge administrative. Si vous voulez voir où vous en êtes sur les trois d'un coup, le diagnostic gratuit Velvyno les couvre en six questions, deux minutes, sans inscription.

Checklist : 5 actions à faire avant fin 2026

Voici la séquence concrète, datée, à exécuter dans l'ordre pour passer de zéro à conforme en six mois — sans payer de cabinet, sans formation lourde.

1. Avant fin juin 2026 — Lister vos 5 traitements. Sur une feuille A4 : un tableau de 5 lignes (mailing list, formulaire contact, Calendly, témoignages, factures). Pour chaque ligne : finalité, données, durée, sous-traitants, base légale. Compte 30 minutes — pas plus.

2. Juillet 2026 — Rédiger votre politique de confidentialité. 1 à 2 pages, publiées sur votre site dans le footer. Modèle CNIL disponible gratuitement. Doit couvrir : identité du responsable, finalités, bases légales, durées, droits des personnes, contact pour les exercer.

3. Août 2026 — Vérifier vos mentions de consentement. Sur votre formulaire de contact : case non pré-cochée. Sur Mailchimp : double opt-in activé. Pour les témoignages déjà publiés : email aux clients concernés pour confirmer leur accord écrit, avec date.

4. Septembre 2026 — Recenser vos sous-traitants. Mailchimp, Calendly, hébergeur, future Plateforme Agréée pour la facture-é, Stripe si paiements en ligne, votre comptable. Pour chacun : vérifier qu'il propose un DPA (Data Processing Agreement) — il l'a généralement déjà en ligne, à télécharger et conserver.

5. Avant fin 2026 — Faire un dry-run d'exercice de droit. Écrivez-vous à vous-même : « merci de supprimer toutes mes données ». Chronométrez combien de temps vous mettez à répondre et à effectivement supprimer dans tous vos outils. Si vous mettez plus de trois jours, vous savez où sont vos failles.

Coût total estimé pour Marie : 0 € de prestation externe, environ 8 heures de travail réparties sur six mois. À comparer aux 3 000 à 8 000 € d'amende potentielle en cas de plainte instruite.

Questions fréquentes

Je n'ai pas de site web, suis-je quand même concerné ?

Oui. Le RGPD ne dépend pas de l'existence d'un site web. Si vous tenez une liste de clients sur Excel, envoyez des devis par email, ou stockez des contrats clients sur Google Drive, vous traitez des données personnelles. Les obligations (registre, base légale, sécurité) s'appliquent. Seules les obligations spécifiquement liées à un site web (politique de confidentialité publiée, bandeau cookies) disparaissent.

Combien de temps dois-je conserver les données de mes clients ?

Cela dépend du type de donnée et de la base juridique. Les factures : 10 ans (Code de commerce art. L.123-22 — obligation comptable). Les contrats et la correspondance commerciale : durée de la relation + 5 ans (article L.110-4 du Code de commerce, prescription quinquennale des obligations commerciales). Les emails de prospection : 3 ans après le dernier contact (recommandation CNIL). Les CV reçus pour un recrutement : 2 ans maximum après le dernier contact. La règle générale : conserver le temps strictement nécessaire à la finalité (art. 5.1.e RGPD — principe de limitation de la conservation).

Si je suis hébergé chez un prestataire américain (Mailchimp, Google), suis-je en infraction ?

Pas automatiquement, mais à encadrer. Depuis l'arrêt Schrems II (CJUE 2020) et l'invalidation du Privacy Shield, les transferts vers les USA reposent sur le Data Privacy Framework (juillet 2023) pour les entreprises certifiées, et sur des Clauses Contractuelles Types (art. 46) pour les autres. Vous devez : (a) vérifier que votre prestataire est certifié DPF ou propose des CCT, (b) le mentionner dans votre politique de confidentialité, (c) l'inscrire dans votre registre. Mailchimp et Google sont certifiés DPF — donc utilisables, à condition de l'avoir documenté.

Que faire si je reçois une plainte CNIL ?

Répondre rapidement et de bonne foi. La CNIL contacte d'abord en mode informel (courrier ou email) avec demande d'explications dans un délai donné (généralement 2 mois). Répondez en détaillant ce que vous faites concrètement, joignez votre registre des traitements et votre politique de confidentialité. Dans 80 % des cas, l'affaire se clôt par une simple recommandation. La sanction n'intervient que si vous ne répondez pas, ou si les manquements sont graves et persistants. Documentez vos démarches dès aujourd'hui — c'est cette traçabilité qui fera la différence en cas de contrôle.

Mes témoignages clients sont-ils vraiment illégaux ?

Sans preuve écrite de consentement, oui. Publier un témoignage avec prénom + photo constitue un traitement de donnée personnelle (art. 4.1) qui exige une base légale. La seule base utilisable ici est le consentement explicite et écrit (art. 6.1.a + art. 7) — un accord oral ne suffit pas, et un "non démenti depuis 6 mois" non plus. Solution : un email au client demandant son accord pour publier son témoignage, avec mention de la durée (3 ans renouvelables par exemple) et du droit de retrait à tout moment. Conservez l'email — c'est votre preuve.

Conclusion

Le RGPD n'est pas une obligation supplémentaire qui s'ajoute à votre activité. C'est une mise au propre de ce que vous faites déjà : qui stocke quoi, pourquoi, combien de temps, et comment les personnes peuvent l'exercer. Bien fait, c'est huit heures de travail réparties sur six mois. Mal fait — ou pas fait — c'est une exposition réelle à une procédure simplifiée CNIL qui a triplé en volume en un an, et qui sanctionne aujourd'hui majoritairement des petites structures.

Pour aller plus loin sur les obligations qui convergent en 2026-2027, on a déjà couvert la facture électronique pour auto-entrepreneurs, l'AI Act et le RGPD pour TPE/PME en détail dans le blog. Lisez ce qui vous concerne, dans l'ordre que vous voulez.

À lire aussi

Tous les articles