Data Privacy

RGPD freelance et indépendants : minimum 2026

RGPD pour freelances, auto-entrepreneurs : minimum vital, registre, mentions, sous-traitants. Guide pratique 2026 pour indépendants en France.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. Un freelance ou auto-entrepreneur est soumis au RGPD dès qu’il traite des données personnelles (clients, prospects, candidats), même seul. Le minimum vital : registre simplifié (template CNIL), mentions information (site, contrats, devis), DPA avec sous-traitants (compta, CRM, hébergeur), sécurité de base (mots de passe, chiffrement disque, sauvegardes). Coût démarrage : 0-500 € ; temps : 1-2 jours. Risque : la CNIL traite 400+ procédures simplifiées/an dont des indépendants pour défaut de coopération ou non-réponse aux droits.

L’argument « je suis trop petit pour être sanctionné » est faux : la CNIL a sanctionné en 2024 plusieurs auto-entrepreneurs et TPE pour 1 000 à 20 000 € en procédure simplifiée. La prescription est de 3 ans, et un client mécontent peut porter plainte gratuitement.

Pour approfondir : PSSI ANSSI, RGPD Suisse, PCA ANSSI.

Points clés

  • Le statut juridique (EI, EURL, micro) n’exonère pas du RGPD.
  • L’exemption < 250 salariés sur le registre ne s’applique pas si traitement régulier de données personnelles.
  • Sous-traitants = DPA obligatoire (CRM, hébergeur, comptable, prestataire IT).
  • Le DPO n’est pas obligatoire pour la majorité des freelances.
  • Sanctions : procédure simplifiée jusqu’à 20 K€ + remise en cause de la cyber assurance.

1. Le freelance est-il soumis au RGPD ?

Oui, sans seuil :

  • Le RGPD s’applique dès le traitement de données personnelles (RGPD art. 2)
  • Aucun seuil de chiffre d’affaires, d’effectif, ou de statut
  • Auto-entrepreneur, EI, EURL, SASU, freelance portage : tous concernés
  • Seules les activités strictement personnelles sont exemptées (art. 2.2.c)

Donc dès qu’on facture un client (qui est une personne physique ou contact pro), on traite des données personnelles.

2. Le registre simplifié

Le registre des traitements (art. 30) est techniquement exemptable pour < 250 salariés, sauf si traitement régulier de données personnelles — ce qui est le cas de tout freelance.

Template CNIL freelance disponible (cnil.fr/registre) :

Traitement Finalité Données Destinataires Durée
Clients Facturation Nom, adresse, e-mail, SIRET Compta, URSSAF 10 ans (compta)
Prospects Démarchage Nom, e-mail, fonction Aucun 3 ans inactif
Newsletter Marketing E-mail Routeur Jusqu’à désinscription
Site web Visite IP, cookies Hébergeur 13 mois max

3. Mentions information : minimum vital

Sur le site web :

  • Mentions légales (LCEN art. 6) : identité, contact, hébergeur, directeur publication
  • Politique de confidentialité : finalités, base légale, durées, droits, DPO/contact
  • Cookies : bandeau + politique cookies

Sur les contrats / devis :

  • Mention information traitement comptable et CRM
  • Durées de conservation
  • Droits + coordonnées du responsable

Sur les formulaires (contact, devis) :

  • Finalité + base légale
  • Durée conservation
  • Droits + comment les exercer

4. Sous-traitants : DPA obligatoire

À signer/accepter avant production :

Outil DPA disponible
OVH / Scaleway (hébergement) Oui, dans CGV
Mailchimp / Brevo (newsletter) Oui, à accepter
Stripe (paiement) Oui, intégré CGU
QuickBooks / Indy / Tiime (compta) Oui
Google Workspace Oui (peut être insuffisant USA)
Microsoft 365 Oui (DPF)
Notion / Trello / Asana Oui
WordPress / Wix / Webflow Oui
Calendly / Acuity Oui
Doctolib pro Oui

Conserver une liste à jour des sous-traitants dans le registre.

5. Sécurité minimale pour freelance

Mesures de base ANSSI (guide PME 2022) :

  1. Mots de passe uniques 12+ caractères (gestionnaire : Bitwarden, 1Password, KeePass)
  2. MFA sur tous les comptes critiques (Google, banque, hébergement, CRM)
  3. Chiffrement disque poste de travail (FileVault/BitLocker)
  4. Antivirus + EDR (Microsoft Defender suffit pour Windows 11)
  5. Sauvegarde cloud chiffrée (Backblaze, iDrive, OneDrive Business)
  6. Mises à jour OS et applications automatiques
  7. Pare-feu activé
  8. Wi-Fi WPA2/WPA3 avec mot de passe robuste

Budget annuel sécurité freelance : 100-300 € (gestionnaire mots de passe + sauvegarde + EDR).

6. Le DPO est-il obligatoire ?

Non, sauf cas exceptionnels :

  • Traitement de données sensibles à grande échelle (santé, biométrie)
  • Suivi systématique à grande échelle
  • Activité autorité publique

Pour la majorité des freelances : pas de DPO. Mais avoir un contact RGPD dans les mentions (= l’indépendant lui-même) est obligatoire.

Si besoin ponctuel : DPO mutualisé externe (300-1500 €/mois) ou avocat RGPD à l’heure.

7. Exercice des droits : procédure simple

Tout client ou prospect peut demander :

  • Accès à ses données (RGPD art. 15)
  • Rectification (art. 16)
  • Effacement (art. 17)
  • Opposition (art. 21)
  • Portabilité (art. 20)

Délai réponse : 1 mois (extensible 2 mois si complexe). Le silence = sanction quasi automatique en cas de plainte CNIL.

Procédure :

  1. Réception demande (mail, courrier)
  2. Vérification identité (pas excessive)
  3. Identification données concernées
  4. Réponse + données ou justification refus
  5. Conservation 3 ans du dossier

8. Marketing : règles freelance

Pour la prospection :

  • B2C par e-mail/SMS : opt-in préalable obligatoire
  • B2B par e-mail : opt-out acceptable si professionnel + lien désinscription
  • LinkedIn messages directs : encadré par LCEN
  • Téléphone B2C : opt-in depuis 11/08/2026

Bonne pratique : préférer LinkedIn (opt-in implicite par connexion) ou content marketing (inbound).

9. Cookies et analytics

Si site web :

  • Bandeau cookies conforme CNIL (refuser aussi simple qu’accepter)
  • Analytics sans cookies = pas de bandeau requis : Plausible, Matomo (anonymisation), Fathom
  • Google Analytics 4 : nécessite bandeau et configuration anonymisation IP

Solutions bandeau gratuites : Tarteaucitron (open source FR), CookieYes, CookieScript (versions gratuites limitées).

10. Cas particulier : freelance santé

Si activité santé (psychologue, coach santé, naturopathe, ostéopathe) :

  • Données = sensibles (art. 9 RGPD)
  • Hébergement = HDS obligatoire dès qu’externalisé (Doctolib, Maiia, etc.)
  • Secret professionnel souvent applicable
  • Cabinet sécurisé physiquement (dossiers papier)
  • DPI ou logiciel métier conforme

Coût conformité freelance santé : 50-200 €/mois (Doctolib, Maiia, ou équivalent + DPA + cyber-assurance).

11. Cas particulier : freelance IT / dev

Si développeur, ingénieur, consultant IT :

  • Souvent sous-traitant RGPD du client final
  • Le client doit fournir un contrat art. 28 (DPA)
  • Refuser d’opérer sans DPA pour les traitements à risque
  • Documenter les accès aux données clients
  • Sécurité renforcée (poste corporate, VPN, MFA)
  • En cas de violation : notifier le client sans délai

12. Checklist freelance conforme 2026

À avoir :

  1. Registre des traitements (template CNIL)
  2. Mentions information sur site web
  3. Politique de confidentialité publique
  4. CGV / contrat avec clauses RGPD
  5. DPA signés/acceptés avec tous les sous-traitants
  6. Bandeau cookies conforme
  7. Procédure exercice droits (simple e-mail OK)
  8. Mots de passe gestionnaire + MFA
  9. Chiffrement disque + sauvegarde
  10. Cyber-assurance (à partir de 200 €/an)
  11. Liste désinscription marketing à jour
  12. Revue annuelle conformité (2h)

FAQ

Un auto-entrepreneur est-il soumis au RGPD ?

Oui, sans exception. Le statut juridique n’a aucune incidence sur l’applicabilité du RGPD. Dès que vous traitez des données personnelles (client, prospect, candidat, fournisseur), vous êtes responsable de traitement.

Quel budget RGPD minimum pour un freelance ?

0-500 € la 1ère année (templates, outils gratuits, conseil ponctuel). Récurrent : 100-300 €/an (gestionnaire mots de passe, sauvegarde, hébergement conforme). Pour activité sensible (santé, IA, finance) : 500-2000 €/an (cyber-assurance, conseil DPO).

Faut-il un DPO si on est seul ?

Non sauf cas spécifiques (santé à grande échelle, biométrie, etc.). Vous êtes votre propre référent RGPD. Indiquez votre contact dans les mentions information : « Responsable de traitement : [Nom], [adresse], [email] ».

Comment gérer une demande d’exercice de droit ?

Recevoir, vérifier l’identité (e-mail confirmé, copie pièce identité si doute fondé), identifier les données, répondre dans 1 mois. Pour un effacement : supprimer dans les bases + chez les sous-traitants + dans les sauvegardes (avec délai technique). Conserver trace 3 ans.

Une cyber-assurance est-elle utile pour un freelance ?

Oui, à partir de 200-500 €/an pour TPE/freelance. Couvre : honoraires avocat RGPD, communication crise, frais notification, indemnisation tiers, perte d’exploitation. Indispensable si activité sensible. Conditions à vérifier : exclusion paiement rançon, délai déclaration sinistre, plafonds.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →