Légal

RGPD freelance 2026 · checklist 15 points sans avocat

Checklist RGPD freelance 2026 · registre, DPA, Data Privacy Framework, alternatives EU et amendes CNIL. Conforme en une après-midi, sans payer un avocat.

F

Léa

Équipe marketing FolioDesk

13 min de lecture
MàJ 29 mai 2026
Légal

L'essentiel en 30 secondes

Le RGPD s'applique à 100% des freelances qui collectent un nom, un email ou un SIRET. Aucun seuil, aucune exception auto-entrepreneur. La conformité repose sur 4 piliers · registre simplifié CNIL, DPA signés avec chaque sous-traitant, transferts hors UE encadrés par le Data Privacy Framework, politique de confidentialité accessible. Comptez une après-midi pour devenir conforme, zéro euro d'avocat.

Information générale, pas un conseil juridique. Le RGPD s'applique au cas par cas ; pour un traitement sensible, un transfert hors UE ou un contrôle CNIL, rapprochez-vous d'un professionnel (avocat, DPO).

Pourquoi le RGPD vous concerne en solo

Le Règlement général sur la protection des données (Règlement UE 2016/679) s'applique à toute personne, physique ou morale, qui traite des données personnelles dans le cadre d'une activité professionnelle. Aucun seuil de chiffre d'affaires, aucune dérogation pour les micro-entrepreneurs. Si vous stockez un email client dans votre boîte Gmail pro, vous êtes responsable de traitement.

Marie L.

Consultante RH solo · Lyon

Six clients facturés par an, elle se croyait hors périmètre. Sa première mise en demeure CNIL est arrivée parce qu'un ancien candidat avait demandé l'effacement de son CV sans jamais recevoir de réponse. Délai légal raté · 30 jours. Coût final · 2 500 euros d'amende administrative et trois jours de réorganisation pour rattraper le retard documentaire. (exemple illustratif)

Le scope réel pour un freelance couvre quatre traitements de routine. La prospection commerciale (base légale · intérêt légitime). La gestion des clients facturés (base légale · exécution du contrat). La newsletter et le marketing (base légale · consentement explicite). La gestion comptable et fiscale (base légale · obligation légale). Chaque traitement exige une ligne dans votre registre, une durée de conservation et un responsable identifié.

La majorité

des TPE françaises ne seraient pas pleinement à jour sur leurs obligations RGPD

Source · Estimation FolioDesk

Checklist 15 points actionnables

Voici la checklist exhaustive que je fais signer à chaque nouveau freelance qui rejoint FolioDesk. Quinze points, classés par ordre d'urgence. Cochez du premier au quinzième, votre activité passe en conformité sans détour par un cabinet d'avocats.

Tenir un registre des traitements simplifié

Format CNIL · prospection, clients, newsletter, comptabilité. Modèle Excel gratuit sur cnil.fr/registre-simplifie.

Identifier la base légale de chaque traitement

Contrat, consentement, intérêt légitime, obligation légale. Une base par ligne de registre.

Définir les durées de conservation

3 ans après dernier contact pour la prospection, 10 ans pour les factures (Code de commerce), 3 ans pour les CV non retenus.

Publier une politique de confidentialité

Accessible depuis chaque formulaire et chaque pied de page de votre site.

Lister tous vos sous-traitants

Google Workspace, Stripe, votre outil de facturation, votre CRM, votre solution d'emailing, votre portail client.

Signer un DPA avec chaque sous-traitant

Data Processing Agreement. Sans ce contrat écrit exigé par l'article 28 du RGPD, votre traitement n'est pas conforme et le sous-traitant peut, selon les circonstances, être requalifié en responsable conjoint.

Vérifier la localisation des serveurs

UE, EEE, ou pays adéquats reconnus par la Commission européenne. Demandez-le par écrit à chaque sous-traitant.

Encadrer les transferts hors UE

Data Privacy Framework pour les États-Unis ou clauses contractuelles types pour les autres pays.

Recueillir un consentement explicite pour la newsletter

Double opt-in obligatoire depuis 2018, conservation de la preuve d'opt-in horodatée.

Permettre l'exercice des droits

Accès, rectification, effacement, portabilité dans un délai de 30 jours maximum.

Sécuriser l'accès à vos données

Mot de passe long unique par outil, MFA activé, chiffrement des sauvegardes locales.

Documenter les incidents de sécurité

Obligation de notifier la CNIL sous 72 heures en cas de violation susceptible d'engendrer un risque.

Configurer un bandeau cookies conforme

Sur votre site vitrine et votre portail. Refus aussi simple que l'acceptation, pas de dark pattern.

Former les éventuels collaborateurs

Tout prestataire occasionnel qui accède à vos données clients doit être briefé sur le registre et les durées de conservation.

Réviser le registre tous les trimestres

15 minutes calendrier bloqué, nouveaux sous-traitants ajoutés, traitements obsolètes supprimés.

Les 15 points cochés en une après-midi de 4 heures · 2h registre, 1h DPA, 30 min politique de confidentialité, 30 min double opt-in. Maintenance trimestrielle · 15 minutes par trimestre. Aucun avocat requis.

Pendant que vous lisez

Votre portail client conforme RGPD en deux minutes

FolioDesk héberge vos données dans l'Union européenne, signe le DPA en ligne et applique le double opt-in par défaut.

Démarrer gratuitement

Data Privacy Framework, le successeur du Privacy Shield

Le Privacy Shield est mort le 16 juillet 2020. L'arrêt Schrems II de la Cour de justice de l'Union européenne a invalidé ce mécanisme parce qu'il ne protégeait pas les données européennes contre la surveillance de masse américaine. Pendant trois ans, les transferts UE vers États-Unis ont reposé uniquement sur les clauses contractuelles types, fragiles et contestables.

  1. 16 juil. 2020

    Arrêt Schrems II

    La CJUE invalide le Privacy Shield. Trois années de zone grise pour les transferts UE vers États-Unis, reposant uniquement sur les clauses contractuelles types.
  2. 10 juil. 2023

    Data Privacy Framework entre en vigueur

    La Commission européenne constate l'adéquation du dispositif américain via décision officielle. Les outils US certifiés DPF deviennent à nouveau utilisables sans clauses supplémentaires.
  3. Aujourd'hui

    Vérification mensuelle obligatoire

    La liste DPF est publiée sur dataprivacyframework.gov, mise à jour mensuelle. Un sous-traitant peut être retiré du programme · vérifiez avant chaque audit client.
Pays / ZoneStatut juridique 2026Mécanisme à utiliser
Union européenne et EEETransfert libreAucun mécanisme requis
États-UnisAdéquation partielle (DPF)Vérification certification DPF du sous-traitant
Royaume-Uni, SuissePays adéquatsAucun mécanisme requis
Canada, Japon, Corée du SudPays adéquatsAucun mécanisme requis
Autres pays tiersPas d'adéquationClauses contractuelles types + analyse d'impact

Thomas R.

Agence web 3 personnes · Bordeaux

Mailchimp pour les newsletters clients depuis 2019, sans se poser de question. En janvier 2026, un client B2B exige un audit RGPD avant de signer un contrat à 45 000 euros. Thomas découvre que Mailchimp est bien certifié DPF, mais qu'il n'a jamais signé le DPA Intuit. Quinze minutes plus tard, DPA signé en ligne, audit passé, contrat gagné. (exemple illustratif)

DPA et sous-traitants, le piège invisible

Le Data Processing Agreement, ou contrat de sous-traitance RGPD, reste l'angle mort de beaucoup de freelances. Chaque outil qui héberge des données personnelles pour votre compte (Stripe, Google Workspace, votre solution d'emailing, votre portail client) doit signer un DPA avec vous. L'article 28 du RGPD impose ce contrat écrit ; à défaut, votre traitement est non conforme et le sous-traitant risque, selon les cas, d'être requalifié en responsable conjoint.

  • Stripe · DPA accessible dans le dashboard, signature électronique en 30 secondes
  • Google Workspace · acceptation automatique dans les conditions Business, vérifiable dans la console admin
  • Microsoft 365 · DPA inclus dans le Microsoft Products and Services Data Protection Addendum
  • FolioDesk· DPA signé automatiquement à l'inscription, copie PDF téléchargeable depuis votre espace
  • Brevo (ex-Sendinblue)· DPA téléchargeable depuis l'espace compte, conservation pendant la durée du contrat

Beaucoup

de TPE françaises n'ont jamais signé de DPA avec leurs sous-traitants principaux

Source · Estimation FolioDesk

Modèle d'email
Relance DPA

Objet

Demande de DPA pour notre relation contractuelle

Bonjour, Dans le cadre de ma mise en conformité RGPD (article 28 du Règlement UE 2016/679), je vous sollicite pour signer le Data Processing Agreement encadrant le traitement des données personnelles que vous opérez pour mon compte. Pourriez-vous m'indiquer le lien de signature en ligne ou m'envoyer la version PDF du DPA à contresigner ? Pour votre information · - Volume traité · ~[X] contacts actifs - Catégories de données · emails, noms, SIRET - Localisation souhaitée des serveurs · UE ou pays adéquat Merci par avance pour votre retour sous quinzaine, [Prénom]
Copiez-collez, adaptez le prénom

Outils US contre alternatives EU souveraines

Choisir une alternative européenne souveraine simplifie votre conformité sans coûter plus cher. Les serveurs restent en UE par défaut, le DPA est rédigé en droit français, le support parle votre langue.

UsageOutil US classiqueAlternative EU souveraine
Wiki et notes internesNotion (US, DPF)Outline, Slite, AppFlowy
Stockage de fichiersGoogle Drive, DropboxkDrive (Infomaniak Suisse), Tresorit (Hongrie)
Emailing et newsletterMailchimp, ConvertKitBrevo (France), Mailjet (France)
Rendez-vous clientCalendly (US, DPF)Cal.com (UE, open source), Rdv-Solidarites
Portail client tout-en-unHoneyBook, Dubsado (US)FolioDesk (UE)
VisioconférenceZoom, Google MeetTixeo (France, ANSSI), Whereby (Norvège)

Sarah

Graphiste freelance · exemple illustratif

Migration Notion vers Outline en deux heures un samedi matin. Export Notion vers Markdown, import dans Outline auto-hébergé sur Scaleway Paris. Coût mensuel · 8 euros au lieu de 16 euros chez Notion. Argument commercial bonus avec ses clients du secteur médical, qui exigent un hébergement EU strict pour leurs maquettes. (exemple illustratif)

Amendes CNIL, ce que risque vraiment une TPE

Le plafond théorique du RGPD impressionne · 20 millions d'euros ou 4% du chiffre d'affaires mondial. La réalité française pour les TPE et freelances tient dans une fourchette beaucoup plus terre à terre.

1 500 à 15 000 €

fourchette typique des amendes administratives infligées aux TPE françaises en 2024 et 2025

Source · CNIL, Délibérations 2024-2025

Le risque réputationnel pèse autant que le risque financier. Les sanctions CNIL sont fréquemment rendues publiques, avec le nom de la structure. Une recherche Google sur votre marque fait remonter la délibération pendant des années. Pour un freelance qui vit du bouche-à-oreille B2B, l'impact commercial dépasse largement le montant de l'amende.

Le scénario typique d'une sanction TPE commence par une plainte d'un ancien client ou candidat. La CNIL envoie un courrier de mise en conformité avec délai de 30 jours. La plupart des structures s'exécutent dans ce délai ; celles qui ne le font pas s'exposent à une sanction publique. Mise en conformité préventive · zéro plainte, zéro risque.

Appliquer le RGPD à votre portail client

Votre portail client concentre les données les plus sensibles de votre activité · contacts, devis signés, factures, livrables, conversations. Le moindre incident expose plusieurs clients en cascade.

Hébergement des données en UE ou pays adéquat

Serveurs identifiés, DPA signé, certification ISO 27001 ou équivalent.

Authentification sécurisée des clients

Magic link à usage unique avec expiration, jamais de mot de passe partagé par email.

Droit à l'effacement opérationnel

Le client peut demander la suppression de son compte et de ses données, traitement sous 30 jours.

Journalisation des accès

Qui a consulté quoi, quand, depuis quelle adresse IP. Audit log immuable conservé 12 mois.

Export des données au format ouvert

Le client doit pouvoir récupérer son historique dans un format réutilisable (PDF, CSV).

FolioDesk applique ces cinq exigences par défaut · base de données et frontend hébergés dans l'Union européenne (Supabase et Vercel, région UE), magic link expirable, droit à l'effacement automatisé, audit log immuable, export PDF et CSV en un clic. Aucune configuration de votre part.

Pendant que vous lisez

Passez votre relation client en mode RGPD-by-default

Portail à votre marque, données hébergées dans l'Union européenne, DPA signé en deux clics. Plan gratuit, sans engagement.

Démarrer gratuitement

Le RGPD n'est pas un mur réglementaire. C'est un avantage commercial sous-exploité. Les clients B2B audités, les directions juridiques de PME, les acheteurs du secteur public regardent désormais la conformité avant le prix. Un freelance qui présente son registre, ses DPA et son hébergement UE en rendez-vous commercial gagne dix points de confiance et ferme plus vite.

Pendant que vous lisez

Mettez en place votre portail client en deux minutes.

Plan gratuit sans carte bancaire. Devis modulables, signature, paiement.

Démarrer gratuitement

Questions fréquentes

Un freelance doit-il nommer un DPO ?

Non, dans 99% des cas. L'article 37 du RGPD impose un DPO uniquement pour le suivi systématique à grande échelle ou les données dites sensibles (santé, opinions politiques). Une consultante RH solo, un graphiste, un développeur freelance restent en dehors du périmètre. Vous restez responsable de traitement, vous tenez votre registre simplifié CNIL et vous documentez vos sous-traitants.

Quel registre RGPD tenir quand on est auto-entrepreneur ?

Le modèle simplifié publié par la CNIL suffit. C'est un tableau Excel ou Notion qui liste chaque traitement, la base légale, la durée de conservation, les destinataires et les sous-traitants. La CNIL fournit un template gratuit téléchargeable. Comptez 45 minutes pour le remplir la première fois, 15 minutes de mise à jour par trimestre ensuite.

Faut-il une mention RGPD sur un devis ou une facture ?

Pas une mention obligatoire sur le devis lui-même. En revanche, votre formulaire de prise de contact, votre site et vos emails commerciaux doivent renvoyer vers une politique de confidentialité accessible. Si votre devis collecte des données nominatives, ajoutez une phrase courte renvoyant à votre politique de confidentialité.

Privacy Shield est-il encore valide en 2026 ?

Non. Le Privacy Shield a été invalidé le 16 juillet 2020 par l'arrêt Schrems II. Depuis le 10 juillet 2023, le Data Privacy Framework (DPF) le remplace pour les transferts UE vers les États-Unis. Vérifiez que vos sous-traitants américains figurent bien sur la liste DPF certifiée publiée sur dataprivacyframework.gov, sinon la base légale du transfert disparaît.

Quelles amendes risque réellement une TPE en cas de non-conformité ?

Le plafond théorique est de 20 millions d'euros ou 4% du chiffre d'affaires mondial, mais dans la pratique la CNIL adapte. En 2024 et 2025, les sanctions financières contre les TPE et indépendants ont oscillé entre 1 500 et 15 000 euros, souvent doublées d'une mise en demeure publique. Le risque réputationnel pèse autant que l'amende.

Comment choisir entre un outil US et une alternative européenne ?

Trois critères simples · serveurs en Union européenne, certification ISO 27001 ou équivalent, DPA signable en ligne. Si l'outil US réunit ces critères et figure sur la liste Data Privacy Framework, vous pouvez l'utiliser avec clauses contractuelles types. Si non, basculez sur une alternative EU.

Combien de temps faut-il pour devenir conforme en partant de zéro ?

Une après-midi de 4 heures suffit pour un freelance solo. Comptez deux heures pour rédiger le registre simplifié, une heure pour signer les DPA de vos sous-traitants, trente minutes pour publier votre politique de confidentialité, trente minutes pour ajouter le double opt-in à votre newsletter. La mise à jour trimestrielle prend ensuite quinze minutes.

Mettez en pratique

Lancez votre premier portail client aujourd'hui.

Plan gratuit, aucune carte bancaire. Premier devis modulable signable et payable envoyé en deux minutes.

Créer mon compte