
L'essentiel en 30 secondes
Le RGPD s'applique à 100% des freelances qui collectent un nom, un email ou un SIRET. Aucun seuil, aucune exception auto-entrepreneur. La conformité repose sur 4 piliers · registre simplifié CNIL, DPA signés avec chaque sous-traitant, transferts hors UE encadrés par le Data Privacy Framework, politique de confidentialité accessible. Comptez une après-midi pour devenir conforme, zéro euro d'avocat.
Information générale, pas un conseil juridique. Le RGPD s'applique au cas par cas ; pour un traitement sensible, un transfert hors UE ou un contrôle CNIL, rapprochez-vous d'un professionnel (avocat, DPO).
Pourquoi le RGPD vous concerne en solo
Le Règlement général sur la protection des données (Règlement UE 2016/679) s'applique à toute personne, physique ou morale, qui traite des données personnelles dans le cadre d'une activité professionnelle. Aucun seuil de chiffre d'affaires, aucune dérogation pour les micro-entrepreneurs. Si vous stockez un email client dans votre boîte Gmail pro, vous êtes responsable de traitement.
Marie L.
Consultante RH solo · Lyon
Le scope réel pour un freelance couvre quatre traitements de routine. La prospection commerciale (base légale · intérêt légitime). La gestion des clients facturés (base légale · exécution du contrat). La newsletter et le marketing (base légale · consentement explicite). La gestion comptable et fiscale (base légale · obligation légale). Chaque traitement exige une ligne dans votre registre, une durée de conservation et un responsable identifié.
La majorité
des TPE françaises ne seraient pas pleinement à jour sur leurs obligations RGPD
Source · Estimation FolioDesk
Checklist 15 points actionnables
Voici la checklist exhaustive que je fais signer à chaque nouveau freelance qui rejoint FolioDesk. Quinze points, classés par ordre d'urgence. Cochez du premier au quinzième, votre activité passe en conformité sans détour par un cabinet d'avocats.
Tenir un registre des traitements simplifié
Identifier la base légale de chaque traitement
Définir les durées de conservation
Publier une politique de confidentialité
Lister tous vos sous-traitants
Signer un DPA avec chaque sous-traitant
Vérifier la localisation des serveurs
Encadrer les transferts hors UE
Recueillir un consentement explicite pour la newsletter
Permettre l'exercice des droits
Sécuriser l'accès à vos données
Documenter les incidents de sécurité
Configurer un bandeau cookies conforme
Former les éventuels collaborateurs
Réviser le registre tous les trimestres
Les 15 points cochés en une après-midi de 4 heures · 2h registre, 1h DPA, 30 min politique de confidentialité, 30 min double opt-in. Maintenance trimestrielle · 15 minutes par trimestre. Aucun avocat requis.
Pendant que vous lisez
Votre portail client conforme RGPD en deux minutes
FolioDesk héberge vos données dans l'Union européenne, signe le DPA en ligne et applique le double opt-in par défaut.
Data Privacy Framework, le successeur du Privacy Shield
Le Privacy Shield est mort le 16 juillet 2020. L'arrêt Schrems II de la Cour de justice de l'Union européenne a invalidé ce mécanisme parce qu'il ne protégeait pas les données européennes contre la surveillance de masse américaine. Pendant trois ans, les transferts UE vers États-Unis ont reposé uniquement sur les clauses contractuelles types, fragiles et contestables.
- 16 juil. 2020
Arrêt Schrems II
La CJUE invalide le Privacy Shield. Trois années de zone grise pour les transferts UE vers États-Unis, reposant uniquement sur les clauses contractuelles types. - 10 juil. 2023
Data Privacy Framework entre en vigueur
La Commission européenne constate l'adéquation du dispositif américain via décision officielle. Les outils US certifiés DPF deviennent à nouveau utilisables sans clauses supplémentaires. - Aujourd'hui
Vérification mensuelle obligatoire
La liste DPF est publiée sur dataprivacyframework.gov, mise à jour mensuelle. Un sous-traitant peut être retiré du programme · vérifiez avant chaque audit client.
| Pays / Zone | Statut juridique 2026 | Mécanisme à utiliser |
|---|---|---|
| Union européenne et EEE | Transfert libre | Aucun mécanisme requis |
| États-Unis | Adéquation partielle (DPF) | Vérification certification DPF du sous-traitant |
| Royaume-Uni, Suisse | Pays adéquats | Aucun mécanisme requis |
| Canada, Japon, Corée du Sud | Pays adéquats | Aucun mécanisme requis |
| Autres pays tiers | Pas d'adéquation | Clauses contractuelles types + analyse d'impact |
Thomas R.
Agence web 3 personnes · Bordeaux
DPA et sous-traitants, le piège invisible
Le Data Processing Agreement, ou contrat de sous-traitance RGPD, reste l'angle mort de beaucoup de freelances. Chaque outil qui héberge des données personnelles pour votre compte (Stripe, Google Workspace, votre solution d'emailing, votre portail client) doit signer un DPA avec vous. L'article 28 du RGPD impose ce contrat écrit ; à défaut, votre traitement est non conforme et le sous-traitant risque, selon les cas, d'être requalifié en responsable conjoint.
- Stripe · DPA accessible dans le dashboard, signature électronique en 30 secondes
- Google Workspace · acceptation automatique dans les conditions Business, vérifiable dans la console admin
- Microsoft 365 · DPA inclus dans le Microsoft Products and Services Data Protection Addendum
- FolioDesk· DPA signé automatiquement à l'inscription, copie PDF téléchargeable depuis votre espace
- Brevo (ex-Sendinblue)· DPA téléchargeable depuis l'espace compte, conservation pendant la durée du contrat
Beaucoup
de TPE françaises n'ont jamais signé de DPA avec leurs sous-traitants principaux
Source · Estimation FolioDesk
Objet
Demande de DPA pour notre relation contractuelle
Outils US contre alternatives EU souveraines
Choisir une alternative européenne souveraine simplifie votre conformité sans coûter plus cher. Les serveurs restent en UE par défaut, le DPA est rédigé en droit français, le support parle votre langue.
| Usage | Outil US classique | Alternative EU souveraine |
|---|---|---|
| Wiki et notes internes | Notion (US, DPF) | Outline, Slite, AppFlowy |
| Stockage de fichiers | Google Drive, Dropbox | kDrive (Infomaniak Suisse), Tresorit (Hongrie) |
| Emailing et newsletter | Mailchimp, ConvertKit | Brevo (France), Mailjet (France) |
| Rendez-vous client | Calendly (US, DPF) | Cal.com (UE, open source), Rdv-Solidarites |
| Portail client tout-en-un | HoneyBook, Dubsado (US) | FolioDesk (UE) |
| Visioconférence | Zoom, Google Meet | Tixeo (France, ANSSI), Whereby (Norvège) |
Sarah
Graphiste freelance · exemple illustratif
Amendes CNIL, ce que risque vraiment une TPE
Le plafond théorique du RGPD impressionne · 20 millions d'euros ou 4% du chiffre d'affaires mondial. La réalité française pour les TPE et freelances tient dans une fourchette beaucoup plus terre à terre.
1 500 à 15 000 €
fourchette typique des amendes administratives infligées aux TPE françaises en 2024 et 2025
Le risque réputationnel pèse autant que le risque financier. Les sanctions CNIL sont fréquemment rendues publiques, avec le nom de la structure. Une recherche Google sur votre marque fait remonter la délibération pendant des années. Pour un freelance qui vit du bouche-à-oreille B2B, l'impact commercial dépasse largement le montant de l'amende.
Le scénario typique d'une sanction TPE commence par une plainte d'un ancien client ou candidat. La CNIL envoie un courrier de mise en conformité avec délai de 30 jours. La plupart des structures s'exécutent dans ce délai ; celles qui ne le font pas s'exposent à une sanction publique. Mise en conformité préventive · zéro plainte, zéro risque.
Appliquer le RGPD à votre portail client
Votre portail client concentre les données les plus sensibles de votre activité · contacts, devis signés, factures, livrables, conversations. Le moindre incident expose plusieurs clients en cascade.
Hébergement des données en UE ou pays adéquat
Authentification sécurisée des clients
Droit à l'effacement opérationnel
Journalisation des accès
Export des données au format ouvert
FolioDesk applique ces cinq exigences par défaut · base de données et frontend hébergés dans l'Union européenne (Supabase et Vercel, région UE), magic link expirable, droit à l'effacement automatisé, audit log immuable, export PDF et CSV en un clic. Aucune configuration de votre part.
Pendant que vous lisez
Passez votre relation client en mode RGPD-by-default
Portail à votre marque, données hébergées dans l'Union européenne, DPA signé en deux clics. Plan gratuit, sans engagement.
Le RGPD n'est pas un mur réglementaire. C'est un avantage commercial sous-exploité. Les clients B2B audités, les directions juridiques de PME, les acheteurs du secteur public regardent désormais la conformité avant le prix. Un freelance qui présente son registre, ses DPA et son hébergement UE en rendez-vous commercial gagne dix points de confiance et ferme plus vite.
Pendant que vous lisez
Mettez en place votre portail client en deux minutes.
Plan gratuit sans carte bancaire. Devis modulables, signature, paiement.
Questions fréquentes
Un freelance doit-il nommer un DPO ?
Non, dans 99% des cas. L'article 37 du RGPD impose un DPO uniquement pour le suivi systématique à grande échelle ou les données dites sensibles (santé, opinions politiques). Une consultante RH solo, un graphiste, un développeur freelance restent en dehors du périmètre. Vous restez responsable de traitement, vous tenez votre registre simplifié CNIL et vous documentez vos sous-traitants.
Quel registre RGPD tenir quand on est auto-entrepreneur ?
Le modèle simplifié publié par la CNIL suffit. C'est un tableau Excel ou Notion qui liste chaque traitement, la base légale, la durée de conservation, les destinataires et les sous-traitants. La CNIL fournit un template gratuit téléchargeable. Comptez 45 minutes pour le remplir la première fois, 15 minutes de mise à jour par trimestre ensuite.
Faut-il une mention RGPD sur un devis ou une facture ?
Pas une mention obligatoire sur le devis lui-même. En revanche, votre formulaire de prise de contact, votre site et vos emails commerciaux doivent renvoyer vers une politique de confidentialité accessible. Si votre devis collecte des données nominatives, ajoutez une phrase courte renvoyant à votre politique de confidentialité.
Privacy Shield est-il encore valide en 2026 ?
Non. Le Privacy Shield a été invalidé le 16 juillet 2020 par l'arrêt Schrems II. Depuis le 10 juillet 2023, le Data Privacy Framework (DPF) le remplace pour les transferts UE vers les États-Unis. Vérifiez que vos sous-traitants américains figurent bien sur la liste DPF certifiée publiée sur dataprivacyframework.gov, sinon la base légale du transfert disparaît.
Quelles amendes risque réellement une TPE en cas de non-conformité ?
Le plafond théorique est de 20 millions d'euros ou 4% du chiffre d'affaires mondial, mais dans la pratique la CNIL adapte. En 2024 et 2025, les sanctions financières contre les TPE et indépendants ont oscillé entre 1 500 et 15 000 euros, souvent doublées d'une mise en demeure publique. Le risque réputationnel pèse autant que l'amende.
Comment choisir entre un outil US et une alternative européenne ?
Trois critères simples · serveurs en Union européenne, certification ISO 27001 ou équivalent, DPA signable en ligne. Si l'outil US réunit ces critères et figure sur la liste Data Privacy Framework, vous pouvez l'utiliser avec clauses contractuelles types. Si non, basculez sur une alternative EU.
Combien de temps faut-il pour devenir conforme en partant de zéro ?
Une après-midi de 4 heures suffit pour un freelance solo. Comptez deux heures pour rédiger le registre simplifié, une heure pour signer les DPA de vos sous-traitants, trente minutes pour publier votre politique de confidentialité, trente minutes pour ajouter le double opt-in à votre newsletter. La mise à jour trimestrielle prend ensuite quinze minutes.
Mettez en pratique
Lancez votre premier portail client aujourd'hui.
Plan gratuit, aucune carte bancaire. Premier devis modulable signable et payable envoyé en deux minutes.