RGPD pour les freelances : guide complet de conformité (2026)

Le RGPD en bref : de quoi parle-t-on exactement ?

Le Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) est un texte européen entré en vigueur le 25 mai 2018. Son objectif est de protéger les données personnelles des citoyens européens en encadrant la manière dont les organisations les collectent, les stockent et les utilisent. Il remplace l'ancienne directive européenne de 1995 et unifie les règles de protection des données au sein de l'Union européenne.

Le RGPD s'applique à toute personne ou entité qui traite des données personnelles de résidents européens, qu'il s'agisse d'une multinationale de 100 000 salariés ou d'un auto-entrepreneur solo travaillant depuis son domicile. L'article 2 du règlement ne prévoit aucune exception liée à la taille de l'entreprise. La seule exception concerne les traitements effectués dans le cadre d'une activité strictement personnelle (ton carnet d'adresses personnel par exemple).

Une donnée personnelle, au sens de l'article 4 du RGPD, c'est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Concrètement :

Données d'identification directe : nom, prénom, photo, voix
Données de contact : adresse e-mail, numéro de téléphone, adresse postale
Données numériques : adresse IP, identifiant de cookie, identifiant client, empreinte numérique
Données professionnelles : nom de l'entreprise associé à un nom de personne, poste occupé, SIRET lié à un dirigeant nommé
Données financières : coordonnées bancaires (RIB), historique de paiement, numéro de carte
Données sensibles (catégories particulières, article 9) : données de santé, opinions politiques, orientation sexuelle, appartenance syndicale, données biométriques

Si tu manipules ce type d'informations dans ton activité (et c'est quasiment inévitable dès que tu as des clients), tu es concerné par le RGPD. La question n'est pas « est-ce que le RGPD s'applique à moi ? » mais « comment est-ce que je me mets en conformité ? ».

Les types de données que tu collectes en tant que freelance

La plupart des freelances sous-estiment la quantité de données personnelles qu'ils manipulent au quotidien. Voici un inventaire détaillé des situations courantes :

Données clients et prospects

Fichier clients : noms, e-mails, téléphones, adresses de facturation

Devis et factures : coordonnées complètes, SIRET, informations bancaires (RIB)

CRM ou tableur de prospection : historique des échanges, notes sur les projets, scoring

Contrats signés : identité complète des parties, signatures

Réponses aux formulaires de contact : nom, e-mail, message, parfois téléphone

Données collectées via ton site web

Formulaire de contact : nom, e-mail, message, parfois téléphone et société

Newsletter : adresses e-mail des abonnés, date d’inscription, historique d’ouverture

Cookies analytiques (Google Analytics, Plausible, Matomo) : adresse IP, pages visitées, durée de session, source de trafic

Cookies publicitaires (Facebook Pixel, LinkedIn Insight Tag, Google Ads) : données de ciblage et de remarketing

Comptes utilisateurs : identifiant, mot de passe hashé, données de profil, historique d’activité

Téléchargements (lead magnets) : e-mail, nom, entreprise en échange d’un contenu gratuit

Données liées à ta prestation

Outils de gestion de projet (Notion, Trello, Asana, Linear) : données des collaborateurs et clients

Échanges par e-mail : contenu des messages, pièces jointes contenant des données personnelles

Données confiées par le client pour la mission (base de données clients, fichier prospects, données utilisateurs)

Fichiers partagés via cloud (Google Drive, Dropbox, OneDrive) : documents contenant des données personnelles

Outils de visioconférence (Zoom, Google Meet) : enregistrements contenant voix et image

Chacune de ces situations implique un traitement de données personnelles au sens du RGPD. Et chaque traitement doit reposer sur une base légale valide (consentement, exécution d'un contrat, intérêt légitime, obligation légale...) et être encadré par ta politique de confidentialité.

Les 7 droits des utilisateurs que tu dois respecter

Le RGPD accorde aux personnes dont tu traites les données un ensemble de droits fondamentaux. Tu dois être en mesure de répondre à l'exercice de chacun de ces droits dans un délai d'un mois maximum (article 12 du RGPD). Voici chaque droit détaillé avec des exemples concrets.

1. Droit d'accès (article 15)

Toute personne peut te demander si tu traites des données la concernant et, si oui, obtenir une copie de ces données ainsi que des informations sur le traitement (finalités, catégories de données, destinataires, durée de conservation). En pratique, un client peut te demander la liste de toutes les informations que tu détiens sur lui. Tu dois pouvoir répondre dans un délai d'un mois.

2. Droit de rectification (article 16)

La personne peut demander la correction de données inexactes ou le complément de données incomplètes. Par exemple, un client qui a changé d'adresse e-mail, de numéro de téléphone ou d'adresse postale peut te demander la mise à jour.

3. Droit à l'effacement (article 17)

Aussi appelé « droit à l'oubli ». La personne peut demander la suppression de ses données dans certaines conditions : données qui ne sont plus nécessaires à la finalité initiale, retrait du consentement, traitement illicite. Attention : tu peux refuser si tu as une obligation légale de conservation. Par exemple, les factures doivent être conservées 10 ans (article L123-22 du Code de commerce) et les données liées à un contrat doivent être conservées pendant la durée de prescription (5 ans en droit commun).

4. Droit à la limitation du traitement (article 18)

La personne peut demander le gel temporaire du traitement de ses données. Tu conserves les données mais tu ne les utilises plus. Ce droit s'applique notamment en cas de contestation de l'exactitude des données ou d'opposition au traitement pendant que tu vérifies si tes intérêts légitimes prévalent.

Mets ton activité en conformité RGPD

Génère ta politique de confidentialité conforme au RGPD en quelques minutes avec PapperLaw. Adaptée aux freelances, formulaire guidé, export PDF.

Générer ma politique RGPD

5. Droit à la portabilité (article 20)

La personne peut demander à récupérer ses données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON par exemple), et les transmettre à un autre responsable de traitement. Ce droit s'applique quand le traitement est fondé sur le consentement ou l'exécution d'un contrat et qu'il est effectué par des moyens automatisés.

6. Droit d'opposition (article 21)

La personne peut s'opposer au traitement de ses données, notamment en cas de prospection commerciale. Pour le marketing direct (newsletters, e-mails commerciaux), l'opposition est un droit absolu : tu dois cesser le traitement immédiatement, sans condition et sans délai. C'est pourquoi chaque e-mail commercial que tu envoies doit contenir un lien de désinscription fonctionnel.

7. Droit relatif aux décisions automatisées (article 22)

La personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (y compris le profilage) produisant des effets juridiques la concernant. Si tu utilises des outils de scoring, de segmentation automatique ou d'IA pour prendre des décisions concernant des personnes, ce droit s'applique. Tu dois prévoir une intervention humaine dans le processus décisionnel.

Tes obligations concrètes en tant que freelance

1. Informer les personnes concernées (articles 13-14)

Tu dois informer clairement chaque personne dont tu collectes les données. Cette information doit être fournie au moment de la collecte (article 13) ou dans un délai raisonnable si les données n'ont pas été obtenues directement auprès de la personne (article 14). C'est le rôle de ta politique de confidentialité, qui doit être accessible sur ton site et mentionnée dans tes contrats.

L'information doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12). Exit le jargon juridique incompréhensible : ta politique de confidentialité doit être lisible par une personne non juriste.

2. Tenir un registre des traitements (article 30)

Même en tant que freelance, tu dois pouvoir lister les traitements de données que tu effectues. Le registre doit contenir pour chaque traitement : la finalité, les catégories de données, les catégories de personnes concernées, les destinataires, la durée de conservation et les mesures de sécurité mises en place. La CNIL met à disposition un modèle de registre gratuit. Un simple tableur Excel ou Google Sheets suffit, mais il doit exister et être à jour. En cas de contrôle, c'est le premier document que la CNIL demandera.

3. Sécuriser les données (article 32)

Tu es responsable de la sécurité des données que tu détiens. Les mesures attendues dépendent de la sensibilité des données et des risques, mais voici le minimum que la CNIL attend d'un professionnel :

Mots de passe robustes (12 caractères minimum) et authentification à deux facteurs sur tous tes outils
Chiffrement des données sensibles (au repos et en transit via HTTPS)
Sauvegardes régulières sur un support distinct
Accès limités aux seules personnes qui en ont besoin (principe du moindre privilège)
Mises à jour régulières de tes logiciels, systèmes d'exploitation et CMS
Verrouillage automatique de tes appareils après inactivité
Antivirus et pare-feu à jour sur tes machines de travail

4. Notifier les violations de données (articles 33-34)

En cas de fuite ou de violation de données personnelles (piratage, perte d'un ordinateur non chiffré, envoi de données au mauvais destinataire...), tu as l'obligation de notifier la CNIL dans les 72 heures via son formulaire en ligne. Si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, tu dois aussi les informer directement et sans délai.

5. Choisir une base légale pour chaque traitement (article 6)

Chaque traitement de données doit reposer sur l'une des 6 bases légales prévues par l'article 6 du RGPD. Pour un freelance, les plus courantes sont : le consentement (pour la newsletter, les cookies analytiques), l'exécution d'un contrat (pour les données de facturation et de livraison), l'intérêt légitime (pour la prospection B2B), et l'obligation légale (pour la conservation des factures). Le choix de la base légale a des implications sur les droits des personnes : par exemple, si tu te fondes sur le consentement, la personne peut le retirer à tout moment.

DPO : es-tu obligé d'en avoir un ?

Le Délégué à la Protection des Données (DPO ou Data Protection Officer) est obligatoire dans trois cas précis, définis par l'article 37 du RGPD :

Organismes publics : toute autorité ou organisme public, sauf les juridictions agissant dans l'exercice de leur fonction.
Suivi régulier et systématique à grande échelle : entreprises dont l'activité principale implique un suivi régulier et systématique des personnes (ex : publicité comportementale, géolocalisation en continu, surveillance vidéo à grande échelle).
Traitement de données sensibles à grande échelle : données de santé, données biométriques, opinions politiques, orientation sexuelle, appartenance syndicale, données judiciaires.

Un freelance classique (développeur, designer, consultant, rédacteur, photographe, formateur...) ne rentre dans aucune de ces catégories. La désignation d'un DPO n'est donc pas obligatoire pour toi. En revanche, tu restes pleinement responsable de ta conformité RGPD et tu dois désigner un point de contact pour les demandes liées aux données personnelles (généralement ton adresse e-mail professionnelle).

Les cookies : obligations de consentement

Si ton site utilise des cookies (et c'est presque toujours le cas), tu as des obligations spécifiques issues à la fois de la directive ePrivacy (transposée en France par l'article 82 de la loi Informatique et Libertés) et du RGPD. La CNIL a publié des lignes directrices sur les cookies qui sont la référence en France.

Cookies nécessitant un consentement préalable

Cookies analytiques classiques (Google Analytics avec transmission des données à Google)
Cookies publicitaires et de ciblage (Facebook Pixel, Google Ads, LinkedIn Insight Tag)
Cookies de réseaux sociaux (boutons de partage, widgets, commentaires)
Cookies de personnalisation non essentiels (recommandations, A/B testing)
Pixels espions (trackers invisibles dans les e-mails ou les pages)

Cookies exemptés de consentement

Cookies strictement nécessaires au fonctionnement du site (session, panier, authentification, CSRF)
Cookies de préférence de l'utilisateur (choix de langue, thème sombre/clair)
Certains cookies de mesure d'audience exemptés par la CNIL sous conditions strictes (Matomo configuré sans transfert de données, avec anonymisation des IP et durée de conservation limitée)

Exigences du bandeau cookies

Ton bandeau cookies doit respecter plusieurs règles strictes définies par la CNIL :

Présenter les finalités des cookies de manière claire et compréhensible
Permettre d'accepter ou de refuser les cookies aussi facilement (pas de dark patterns, pas de bouton « refuser » caché ou grisé)
Ne déposer aucun cookie non essentiel avant le recueil du consentement
Conserver la preuve du consentement pendant au moins 6 mois
Permettre à l'utilisateur de revenir sur son choix à tout moment
Renouveler le consentement au maximum tous les 13 mois

Les sanctions de la CNIL : concrètes et graduées

L'échelle des sanctions CNIL

Niveau 1 - Rappel à l'ordre : la CNIL constate un manquement et te demande de te mettre en conformité. C'est le cas le plus fréquent pour les petites structures et freelances.
Niveau 2 - Mise en demeure : tu reçois un délai (généralement 1 à 3 mois) pour corriger les manquements identifiés, sous peine de sanctions plus lourdes.
Niveau 3 - Injonction sous astreinte : la CNIL te donne un ordre assorti d'une pénalité journalière (pouvant atteindre plusieurs centaines d'euros par jour) tant que tu n'es pas conforme.
Niveau 4 - Amende administrative : jusqu'à 20 millions d'euros ou 4 % du CA annuel mondial (le montant le plus élevé). En 2024, la CNIL a prononcé plus de 42 millions d'euros de sanctions au total.

En pratique, la CNIL adapte ses sanctions à la taille de l'entreprise et à la gravité du manquement. Pour un freelance, les amendes de plusieurs millions sont très peu probables. Mais les rappels à l'ordre et mises en demeure sont courants, notamment pour l'absence de bandeau cookies conforme ou de politique de confidentialité.

Au-delà des sanctions financières, la CNIL peut rendre ses décisions publiques. Ton nom peut apparaître sur le site de la CNIL, ce qui représente un risque réputationnel significatif. Et de plus en plus de clients, surtout les grandes entreprises et startups financées, vérifient la conformité RGPD de leurs prestataires avant de signer un contrat. La non-conformité peut donc directement te faire perdre des opportunités commerciales.

Checklist de ta politique de confidentialité

Ta politique de confidentialité est le document central de ta conformité RGPD vis-à-vis de tes utilisateurs et clients. Voici les éléments qu'elle doit impérativement contenir (articles 13 et 14 du RGPD) :

Identité et coordonnées du responsable de traitement (toi : nom, adresse, e-mail)

Coordonnées du DPO (si applicable, sinon coordonnées de contact pour les questions RGPD)

Liste de chaque traitement de données effectué et sa finalité précise

Base légale de chaque traitement (consentement, contrat, intérêt légitime, obligation légale)

Catégories de données collectées pour chaque traitement

Destinataires des données (sous-traitants, partenaires, hébergeurs, outils tiers)

Transferts de données hors UE (le cas échéant) et garanties associées (clauses contractuelles types, décision d’adéquation)

Durée de conservation des données pour chaque finalité

Description des 7 droits des personnes (accès, rectification, effacement, portabilité, opposition, limitation, décisions automatisées)

Modalités d’exercice des droits (adresse e-mail dédiée, formulaire de contact, délai de réponse)

Droit d’introduire une réclamation auprès de la CNIL (avec lien vers le site de la CNIL)

Politique de cookies détaillée (peut être intégrée ou faire l’objet d’une page séparée)

Date de dernière mise à jour du document

Cette liste peut sembler longue, mais avec le générateur PapperLaw, tu n'as qu'à répondre à quelques questions simples sur ton activité et les données que tu collectes. Le document est généré automatiquement avec tous les éléments requis par le RGPD, rédigé dans un langage clair et compréhensible.

Les documents RGPD dont tu as besoin

Pour te mettre en conformité complète, tu as besoin de plusieurs éléments complémentaires :

Une politique de confidentialité publiée sur ton site, accessible depuis chaque page (généralement via le footer), rédigée en termes clairs et compréhensibles.
Un registre des traitements interne (tableur) qui liste toutes tes opérations de traitement avec les informations requises par l'article 30.
Un bandeau cookies conforme si tu utilises des cookies non essentiels, avec mécanisme de consentement granulaire.
Des mentions légales à jour (obligation LCEN distincte du RGPD, mais complémentaire).
Des clauses RGPD dans tes contrats avec les sous-traitants qui accèdent à des données personnelles (article 28 du RGPD), par exemple ton hébergeur, ton outil d'e-mailing ou ton prestataire comptable.
Une procédure de gestion des violations pour savoir comment réagir en cas de fuite de données (notification CNIL sous 72h, information des personnes concernées).

Pour une vision d'ensemble de tous les documents juridiques nécessaires à ton activité de freelance, consulte notre guide des documents essentiels. Et n'oublie pas de compléter ta politique RGPD avec des CGV conformes et un contrat de prestation solide. Consulte le glossaire juridique PapperLaw si certains termes techniques te semblent flous.

Questions fréquentes sur le RGPD et les freelances

Le RGPD s’applique-t-il aux auto-entrepreneurs ?

Oui, le RGPD s’applique à toute personne ou entité qui collecte et traite des données personnelles, quel que soit son statut juridique ou sa taille. Un auto-entrepreneur qui a une liste de clients avec noms, e-mails et adresses est pleinement concerné. L’article 2 du RGPD ne prévoit aucune exception liée à la taille de l’entreprise. La CNIL le confirme explicitement dans ses recommandations pour les TPE/PME.

Ai-je besoin d’un DPO en tant que freelance ?

En règle générale, non. La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire dans trois cas seulement (article 37 du RGPD) : pour les organismes publics, pour les entreprises dont l’activité principale implique un suivi régulier et systématique à grande échelle, ou pour celles qui traitent des données sensibles à grande échelle. Un freelance classique n’entre dans aucune de ces catégories. Toutefois, rien n’empêche de désigner un DPO volontairement.

Quelles sanctions la CNIL peut-elle appliquer aux freelances ?

La CNIL dispose d’une échelle de sanctions graduée : avertissement, mise en demeure, injonction sous astreinte, et amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé). En pratique, pour un freelance, les sanctions sont proportionnées. Mais les mises en demeure sont courantes, notamment pour l’absence de bandeau cookies conforme ou de politique de confidentialité.

Dois-je déclarer mes traitements de données à la CNIL ?

Non, depuis l’entrée en vigueur du RGPD le 25 mai 2018, le système de déclaration préalable à la CNIL a été supprimé. Il est remplacé par le principe de responsabilisation (accountability) : tu n’as plus besoin de déclarer tes traitements, mais tu dois tenir un registre interne de tes traitements et être en mesure de démontrer ta conformité à tout moment en cas de contrôle.

RGPD pour les freelances : guide complet de conformité