Calendly et RGPD en 2026 : prise de rendez-vous en ligne conforme

Calendly est l'outil de prise de rendez-vous le plus répandu chez les freelances, consultants et commerciaux. À chaque réservation, il collecte le nom, l'email et parfois le téléphone de votre interlocuteur. C'est un service américain : voici comment l'utiliser sans risque RGPD.

Les enjeux RGPD de Calendly

1. Calendly est votre sous-traitant

Les personnes qui réservent un créneau vous confient leurs données ; Calendly les traite pour votre compte. C'est un sous-traitant (article 28 RGPD), ce qui suppose un DPA. Calendly fournit un DPA dans ses conditions (vérifiez Account → Security and compliance). Voir notre guide sous-traitant et DPA.

2. Transfert de données hors UE

Calendly LLC est basé aux États-Unis. Les données de réservation transitent donc hors UE. Calendly est certifié au Data Privacy Framework, ce qui rend le transfert licite à condition de le mentionner dans votre politique de confidentialité. Pour le cadre complet (DPF, Schrems II, clauses types) : guide transferts hors UE.

3. Consentement et finalité

La donnée collectée par Calendly sert à organiser le rendez-vous : la base légale est en général l'exécution de mesures précontractuelles ou l'intérêt légitime. Attention si vous cochez par défaut une case « recevoir nos actualités » à la réservation : un consentement marketing doit être séparé, libre et non pré-coché (cf. newsletter et email marketing RGPD).

Configurer Calendly pour être conforme

Étape 1 — Minimiser les champs demandés

Ne demandez que ce qui est utile au rendez-vous. Un champ « numéro de téléphone » obligatoire pour un simple appel visio n'est pas justifié. Désactivez les questions superflues dans les paramètres de l'événement (principe de minimisation).

Étape 2 — Gérer les cookies si Calendly est intégré (embed)

Si vous intégrez le widget Calendly dans votre site (inline ou popup), il charge des scripts tiers et peut poser des cookies. Dans ce cas :

• conditionnez le chargement de l'embed au consentement via votre bannière (voir bannière cookie conforme) ;
• ou utilisez un lien externe vers votre page Calendly plutôt qu'un embed, ce qui évite tout dépôt de cookie tiers sur votre site.

Si vous renvoyez vers calendly.com/votre-nom, le dépôt de cookies a lieu chez Calendly, pas sur votre domaine : c'est l'option la plus simple côté conformité.

Étape 3 — Mentionner Calendly dans la politique de confidentialité

"Pour la prise de rendez-vous, nous utilisons Calendly LLC (États-Unis), certifié au Data Privacy Framework. Données traitées : nom, email, et toute information que vous renseignez lors de la réservation. Base légale : mesures précontractuelles / intérêt légitime. Calendly agit en sous-traitant. Plus d'informations : calendly.com/privacy."

Modèle complet : politique de confidentialité 2026.

Étape 4 — Conservation et effacement

Supprimez régulièrement les anciennes réservations qui n'ont plus d'utilité. Documentez une durée (par exemple : suppression des invités sans suite après 12 mois) dans votre registre des traitements.

Alternatives européennes à Calendly

Pour éviter le transfert hors UE :

• Cal.com — open source, hébergement EU ou auto-hébergé, très complet.
• SimplyBook.me (Lettonie/UE) — réservation pour prestations de services.
• Brevo Meetings (France) — intégré à l'écosystème Brevo.

Cal.com est l'alternative la plus crédible pour qui veut la souplesse de Calendly sans le transfert hors UE.

Checklist conformité Calendly

• [ ] DPA Calendly vérifié (Account → Security and compliance)
• [ ] Calendly mentionné dans la politique de confidentialité (DPF + finalités)
• [ ] Champs de réservation limités au nécessaire (minimisation)
• [ ] Embed conditionné au consentement, ou lien externe utilisé
• [ ] Pas de case marketing pré-cochée à la réservation
• [ ] Durée de conservation des réservations définie
• [ ] Calendly inscrit dans votre registre des traitements

Scannez votre site gratuitement pour vérifier si un embed Calendly charge des cookies tiers avant consentement.