Auto-entrepreneur et RGPD : ce que vous devez vraiment faire en 2026

Beaucoup d'auto-entrepreneurs pensent que le RGPD ne les concerne pas. C'est faux. Dès que vous gérez un site web, une newsletter, un fichier client ou un simple formulaire de contact, vous traitez des données personnelles — et vous êtes soumis aux mêmes règles qu'une grande entreprise. Bonne nouvelle : la mise en conformité est largement à votre portée. Voici un guide opérationnel pour 2026.

Le RGPD s'applique à vous, même seul

Le Règlement Général sur la Protection des Données ne fait aucune distinction selon la taille de l'organisation. Que vous soyez SARL, SAS ou auto-entrepreneur, dès lors que vous collectez ou traitez des données personnelles de résidents européens, le règlement s'applique.

Ce qui compte comme « données personnelles » :

• nom, prénom, email, téléphone, adresse postale
• adresse IP, identifiants techniques, cookies
• photo, voix, données de géolocalisation
• numéro SIRET d'une personne physique
• toute information permettant d'identifier directement ou indirectement une personne

Si vous avez un fichier Excel de prospects, une newsletter, un formulaire de contact ou un site WordPress avec Google Analytics, vous êtes concerné.

Les 5 obligations incontournables

1. Tenir un registre des traitements

Même seul, vous devez documenter quelles données vous traitez, pourquoi, combien de temps vous les conservez et avec qui elles sont partagées. La CNIL propose un modèle simplifié pour les petites structures sur son site.

Ce que doit contenir le registre :

• le nom du traitement (« gestion clients », « newsletter », « facturation »)
• la finalité (pourquoi vous collectez)
• les catégories de personnes concernées (clients, prospects, salariés)
• les catégories de données collectées
• la durée de conservation
• les destinataires (votre comptable, votre CRM, etc.)
• les mesures de sécurité mises en place

2. Informer les personnes concernées

Sur chaque point de collecte (formulaire, site web, devis), vous devez indiquer clairement :

• qui collecte (vous, avec vos coordonnées)
• pourquoi (établir un devis, envoyer une newsletter)
• la base juridique (consentement, contrat, intérêt légitime)
• la durée de conservation
• les droits dont disposent les personnes
• comment exercer ces droits

Cette information passe par une politique de confidentialité accessible depuis toutes les pages de votre site.

3. Recueillir un consentement valable pour les cookies

Si votre site dépose des cookies analytiques (Google Analytics, Matomo non anonymisé) ou publicitaires (Meta Pixel, Google Ads), vous devez :

• afficher une bannière cookie avant tout dépôt
• proposer un choix clair entre « Accepter », « Refuser » et « Personnaliser »
• rendre le refus aussi simple que l'acceptation (interdiction des dark patterns)
• conserver la preuve du consentement

Les sanctions CNIL pour bannière non conforme dépassent régulièrement 50 000 EUR, même pour des structures modestes.

4. Sécuriser les données

Vous devez prendre des mesures « appropriées » à votre activité :

• chiffrement HTTPS sur votre site (Let's Encrypt est gratuit)
• mots de passe robustes et stockage chiffré
• sauvegardes régulières
• limitation des accès aux strictement nécessaires
• contrats avec vos sous-traitants (hébergeur, CRM, outil emailing)

5. Réagir en cas de fuite de données

Si une violation survient (piratage, perte d'un ordinateur, email envoyé au mauvais destinataire), vous avez 72 heures pour notifier la CNIL si la fuite présente un risque pour les personnes concernées. Documentez l'incident, les mesures prises et les personnes informées.

Les outils sous-traitants : un piège fréquent

Beaucoup d'auto-entrepreneurs utilisent Mailchimp, Brevo, Notion, Airtable, Google Workspace ou un CRM SaaS. Ces outils sont des sous-traitants au sens du RGPD : vous devez signer un contrat de sous-traitance (DPA) avec chacun et vérifier où sont stockées les données.

Points de vigilance :

• privilégier les outils hébergés en Europe quand c'est possible
• vérifier l'existence d'un DPA téléchargeable
• documenter les transferts hors UE (Clauses Contractuelles Types, certification adequacy)
• limiter les données partagées au strict nécessaire

Combien coûte la non-conformité ?

Les sanctions CNIL pour les TPE et auto-entrepreneurs sont rarement les amendes maximales prévues par le règlement (20 millions d'euros ou 4% du CA), mais elles restent significatives :

• 5 000 à 50 000 EUR pour les manquements courants (bannière, information)
• mises en demeure publiques (effet réputationnel)
• frais d'avocat et de mise en conformité forcée

À cela s'ajoute le risque réputationnel : une mise en demeure CNIL devient publique et peut être indexée par Google sur votre nom.

Le plan d'action concret

Si vous partez de zéro, voici l'ordre logique pour vous mettre en conformité :

1. Auditez ce que vous collectez — utilisez un scanner RGPD gratuit pour identifier les cookies et trackers actifs sur votre site
2. Rédigez votre politique de confidentialité et vos mentions légales — ConformeRGPD les génère automatiquement à partir de vos informations
3. Installez une bannière cookie conforme — une seule ligne de code à ajouter
4. Tenez votre registre des traitements — un tableur suffit pour démarrer
5. Mettez à jour vos contrats — DPA avec vos sous-traitants
6. Sensibilisez-vous régulièrement — la doctrine CNIL évolue, surveillez les actualités

Combien de temps cela prend-il vraiment ?

Pour un auto-entrepreneur avec un site vitrine et une newsletter, comptez :

• 1h pour l'audit initial et la configuration de la bannière cookie
• 30 min pour générer politique de confidentialité et mentions légales
• 1h pour rédiger un registre des traitements simple
• 30 min par mois pour la maintenance

Le coût annuel d'un outil tout-en-un comme ConformeRGPD (60 EUR/an en formule Solo) reste sans commune mesure avec le risque encouru.

Pour aller plus loin

• Guide RGPD complet pour les sites web
• Bannière cookie conforme : que doit-elle contenir ?
• Mentions légales obligatoires : la check-list 2026

Le RGPD n'est pas une option pour les auto-entrepreneurs : c'est une obligation légale dont la non-application peut coûter cher. La bonne nouvelle, c'est qu'avec quelques heures d'investissement et les bons outils, la mise en conformité est largement à votre portée — et elle vous protège durablement.