PapperLaw

Publié le 2 avril 2026 · 10 min de lecture

RGPD pour auto-entrepreneurs : les 5 obligations essentielles

Tu penses que le RGPD ne concerne que les grandes entreprises ? Détrompe-toi. Dès que tu collectes un email ou un numéro de téléphone, tu es concerné. Voici les 5 obligations concrètes que tu dois respecter.

Pourquoi le RGPD concerne les auto-entrepreneurs

Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis le 25 mai 2018, s'applique à toute personne physique ou morale qui traite des données personnelles. Il n'y a pas d'exemption liée à la taille de l'entreprise ou au statut juridique.

En tant qu'auto-entrepreneur, tu traites probablement des données personnelles sans même t'en rendre compte : les coordonnées de tes clients, les emails reçus via ton formulaire de contact, les données de facturation, les cookies de ton site web, les informations de ta newsletter...

La bonne nouvelle : les obligations du RGPD pour un auto-entrepreneur sont bien plus simples que pour une grande entreprise. Tu n'as pas besoin de nommer un DPO, ni de réaliser des analyses d'impact complexes. Voici les 5 obligations essentielles à mettre en place.

Obligation n°1 : le registre des traitements

Le registre des activités de traitement (article 30 du RGPD) est un document qui recense tous les traitements de données personnelles que tu effectues. Même si tu es exonéré de cette obligation pour les traitements occasionnels (moins de 250 salariés), la CNIL recommande à tous les professionnels de le tenir.

Pour chaque traitement, tu dois documenter :

La finalité du traitement (pourquoi tu collectes ces données)

Les catégories de données concernées (nom, email, téléphone...)

Les personnes concernées (clients, prospects, fournisseurs...)

Les destinataires des données (sous-traitants, partenaires...)

La durée de conservation

Les mesures de sécurité mises en place

En pratique, un simple tableur suffit. La CNIL propose d'ailleurs un modèle gratuit sur son site. L'important est de garder ce document à jour.

Obligation n°2 : le consentement et l'information

Quand tu collectes des données personnelles, tu dois informer les personnes concernées de manière claire et transparente (articles 13 et 14 du RGPD). Cette information doit être donnée au moment de la collecte.

Concrètement, tu dois indiquer :

  • Qui tu es (identité et coordonnées du responsable de traitement)
  • Pourquoi tu collectes ces données (finalités)
  • Sur quelle base légale tu te fondes (consentement, contrat, intérêt légitime...)
  • Combien de temps tu conserves les données
  • Quels sont les droits des personnes (accès, rectification, suppression...)
  • Comment exercer ces droits (email, formulaire de contact)

Pour certains traitements (newsletter, cookies non essentiels), tu dois obtenir le consentement explicite de la personne avant de collecter ses données. Ce consentement doit être libre, spécifique, éclairé et univoque (pas de case pré-cochée).

Génère ta politique de confidentialité RGPD

Politique de confidentialité conforme au RGPD, personnalisée pour ton activité d'auto-entrepreneur. Formulaire guidé, export PDF.

Générer ma politique RGPD

Obligation n°3 : respecter les droits des personnes

Le RGPD accorde plusieurs droits aux personnes dont tu traites les données. Tu dois être en mesure de répondre à leurs demandes dans un délai d'un mois :

Droit d’accès

La personne peut te demander quelles données tu détiens sur elle et obtenir une copie

Droit de rectification

La personne peut te demander de corriger des données inexactes ou incomplètes

Droit à l’effacement

La personne peut te demander de supprimer ses données (avec certaines exceptions)

Droit à la portabilité

La personne peut te demander de transférer ses données dans un format lisible

Droit d’opposition

La personne peut s’opposer au traitement de ses données pour des motifs légitimes

Droit à la limitation

La personne peut te demander de geler le traitement en attendant une vérification

En pratique, pour un auto-entrepreneur, ces demandes sont rares. Mais tu dois être prêt à y répondre. Prévois une adresse email dédiée (par exemple vie-privee@tondomaine.fr) et un process simple de réponse.

Obligation n°4 : la sécurité des données

L'article 32 du RGPD impose de mettre en œuvre des mesures techniques et organisationnelles adaptées pour protéger les données personnelles. Pour un auto-entrepreneur, voici les mesures de base à mettre en place :

Mots de passe forts et uniques pour chaque service (utilise un gestionnaire de mots de passe)

Authentification à deux facteurs (2FA) sur les comptes critiques (email, banque, cloud)

Chiffrement des disques durs et clés USB contenant des données clients

Sauvegardes régulières des données (règle 3-2-1 : 3 copies, 2 supports, 1 hors site)

Mises à jour systématiques de tes logiciels et système d’exploitation

Verrouillage automatique de ton ordinateur après 5 minutes d’inactivité

Utilisation d’une connexion sécurisée (VPN si tu travailles en coworking ou café)

Le RGPD n'exige pas la perfection, mais des mesures « adaptées au risque ». En tant qu'auto-entrepreneur qui gère des données basiques (noms, emails, factures), les mesures ci-dessus sont largement suffisantes.

Obligation n°5 : la notification des violations de données

En cas de violation de données personnelles (piratage, fuite, perte de données), tu dois notifier la CNIL dans les 72 heures (article 33 du RGPD), sauf si la violation ne présente pas de risque pour les personnes concernées.

Si la violation présente un risque élevé pour les personnes (par exemple, fuite de données bancaires ou de santé), tu dois également les informer directement (article 34 du RGPD).

Exemples de violations pour un auto-entrepreneur : piratage de ta boîte email contenant des données clients, vol de ton ordinateur non chiffré, envoi accidentel d'un fichier client au mauvais destinataire. La notification se fait en ligne sur le site de la CNIL via un formulaire dédié.

Les données que tu collectes probablement déjà

Pour t'aider à prendre conscience de ton périmètre RGPD, voici les données personnelles que la plupart des auto-entrepreneurs traitent au quotidien :

Données clients

  • • Nom, prénom, email
  • • Téléphone, adresse
  • • SIRET, raison sociale
  • • Historique de facturation

Données site web

  • • Cookies et adresses IP
  • • Formulaires de contact
  • • Inscriptions newsletter
  • • Données analytics

La politique de confidentialité : le document clé

Si tu as un site web, la politique de confidentialité est le document central de ta conformité RGPD. Elle informe tes visiteurs et clients de la manière dont tu traites leurs données.

Ta politique doit mentionner : ton identité, les données collectées, les finalités, les bases légales, les durées de conservation, les droits des personnes et comment les exercer, les transferts éventuels hors UE, et tes sous-traitants.

Elle doit être accessible facilement depuis toutes les pages de ton site (lien en footer généralement). Pour la générer facilement, utilise le générateur de politique RGPD de PapperLaw. Pense aussi à vérifier tes mentions légales qui sont un autre document obligatoire pour ton site web.

Relu par l'équipe juridique PapperLaw - Dernière mise à jour : avril 2026

Questions fréquentes

Un auto-entrepreneur est-il vraiment concerné par le RGPD ?

Oui, le RGPD s’applique à toute personne ou organisation qui traite des données personnelles, quelle que soit sa taille. Dès que tu collectes un email client, un numéro de téléphone ou un nom pour facturer, tu es soumis au RGPD. Le statut d’auto-entrepreneur ne constitue pas une exemption.

Faut-il nommer un DPO quand on est auto-entrepreneur ?

Non, la nomination d’un Délégué à la Protection des Données (DPO) n’est obligatoire que pour les organismes publics et les entreprises dont l’activité principale implique un suivi régulier et systématique à grande échelle des personnes. En tant qu’auto-entrepreneur, tu n’es pas concerné par cette obligation.

Quelles sanctions risque un auto-entrepreneur en cas de non-conformité RGPD ?

Les sanctions théoriques sont lourdes : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. En pratique, la CNIL adapte les sanctions à la taille de l’entreprise. Pour un auto-entrepreneur, les risques les plus concrets sont un rappel à l’ordre, une mise en demeure, et une atteinte à la réputation en cas de fuite de données.

Dois-je avoir une politique de confidentialité sur mon site ?

Oui, si tu as un site web qui collecte des données personnelles (formulaire de contact, newsletter, cookies analytiques), tu dois afficher une politique de confidentialité détaillant les traitements effectués, les finalités, les durées de conservation et les droits des personnes. C’est une obligation du RGPD (articles 13 et 14).

Fais-le maintenant : mets-toi en conformité RGPD

Génère une politique de confidentialité conforme au RGPD, personnalisée pour ton activité d'auto-entrepreneur. Formulaire guidé, export PDF.

Générer ma politique RGPD

Articles associés

Mentions légales : ce que dit la loi et comment les créerChecklist juridique freelance : les documents indispensablesLes 5 documents juridiques essentiels pour tout freelance