Vous êtes auto-entrepreneur, freelance, ou micro-entreprise. Vous pensez peut-être que le RGPD ne vous concerne pas — que c’est une réglementation pour les grandes entreprises. C’est une idée reçue qui peut coûter cher.
Ce guide vous explique précisément ce qui s’applique à vous, ce que vous devez faire, et comment le faire simplement.
1. Le RGPD s’applique-t-il aux auto-entrepreneurs ?
Oui, sans exception. Le RGPD s’applique à toute personne physique ou morale qui traite des données personnelles dans le cadre d’une activité professionnelle, quelle que soit sa taille. Un auto-entrepreneur de 1 personne est soumis aux mêmes principes qu’une multinationale.
La différence est dans les risques concrets et les obligations pratiques qui, pour une micro-structure, sont bien plus légères qu’on ne l’imagine.
En tant qu’auto-entrepreneur, vous êtes « responsable du traitement » au sens du RGPD. C’est vous qui décidez des finalités et des moyens de vos traitements de données. La responsabilité vous incombe directement.
2. Quelles données traitez-vous en tant qu’auto-entrepreneur ?
Même si vous travaillez seul, vous traitez probablement plusieurs catégories de données personnelles :
Données clients : noms, adresses, emails, numéros de téléphone, informations de paiement.
Données de prospects : coordonnées de personnes contactées ou qui ont rempli un formulaire.
Données de fournisseurs : coordonnées de vos contacts professionnels.
Données liées à votre site web : adresses IP des visiteurs, cookies, formulaires de contact.
Données de communication : adresses email des personnes à qui vous envoyez des newsletters ou des emails commerciaux.
Si vous avez des collaborateurs ou sous-traitants, des données RH s’ajoutent également.
3. Vos obligations concrètes : ce que vous devez faire
3.1 Tenir un registre des traitements
C’est votre obligation principale. L’article 30 du RGPD impose à tout responsable du traitement de tenir un registre documentant ses activités de traitement. Pour un auto-entrepreneur, ce registre est souvent court (3 à 5 activités), mais il doit exister et être à jour.
Vos traitements typiques : gestion de la relation client, facturation, site web et formulaires de contact, prospection commerciale.
3.2 Informer vos clients et prospects
Si vous collectez des données via un formulaire de contact, une page de vente ou un email, vous devez informer les personnes de l’utilisation qui sera faite de leurs données. Cette information prend la forme de mentions légales sur votre site ou d’une politique de confidentialité.
3.3 Avoir une base légale pour chaque traitement
Vous devez pouvoir justifier pourquoi vous traitez chaque type de donnée. Les bases légales les plus courantes pour un auto-entrepreneur sont :
Exécution du contrat : pour les données de vos clients liées à la prestation (facturation, livraison…).
Intérêt légitime : pour la prospection de contacts professionnels (B2B), sous réserve de leur permettre de s’opposer.
Consentement : pour l’envoi de newsletters ou emails marketing à des particuliers.
3.4 Répondre aux demandes de droits
Si un client ou prospect vous demande l’accès à ses données, leur correction ou leur suppression, vous devez répondre dans un délai d’un mois. C’est l’une des premières causes de plainte auprès de la CNIL.
3.5 Sécuriser vos données
Vous devez protéger les données que vous détenez contre les accès non autorisés et les pertes. Pour un auto-entrepreneur, cela signifie en pratique : mots de passe solides et uniques pour vos outils, sauvegarde régulière de vos fichiers clients, et ne pas laisser traîner des données sensibles dans des emails non sécurisés.
Créez votre registre des traitements RGPD adapté à votre activité en 30 minutes :
Démarrer maintenant — 149 EUR HT
4. Les erreurs fréquentes chez les auto-entrepreneurs
Envoyer des newsletters sans avoir obtenu le consentement des destinataires (ou sans avoir proposé de désinscription).
Utiliser un outil SaaS étranger (CRM, outil de facturation…) sans vérifier s’il répond aux exigences RGPD.
Ne pas mettre de politique de confidentialité sur son site web ou son portfolio.
Conserver des fichiers clients indéfiniment sans durée de conservation définie.
Ne pas répondre à une demande d’effacement d’un ancien client.
5. Ce qui n’est pas obligatoire pour un auto-entrepreneur
Voici ce dont vous n’avez généralement pas besoin :
Un DPO (délégué à la protection des données) : non obligatoire pour les micro-structures qui ne traitent pas de données sensibles à grande échelle.
Une analyse d’impact (AIPD) : obligatoire uniquement pour les traitements présentant un risque élevé pour les droits des personnes. Un fichier client classique n’entre pas dans cette catégorie.
Un service juridique dédié : votre conformité peut être gérée directement par vous, avec les bons outils.
6. Cas pratiques : situations fréquentes
Je suis graphiste freelance avec 50 clients. Que dois-je faire ?
Tenir un registre des traitements (3 à 4 activités : relation client, facturation, site web), mettre une politique de confidentialité sur votre site et vous assurer que vos contrats clients mentionnent comment vous traitez leurs données.
J’envoie une newsletter mensuelle à mes abonnés. Est-ce conforme ?
Cela dépend de comment vous avez collecté les adresses. Pour les particuliers : vous devez avoir recueilli leur consentement explicite (une case à cocher, pas pré-cochée). Pour les professionnels (B2B) : l’intérêt légitime peut suffire, mais vous devez toujours proposer un lien de désinscription.
Mon site web utilise Google Analytics. Suis-je en règle ?
Google Analytics implique un transfert de données vers les serveurs de Google (donc hors UE). Vous devez : (1) obtenir le consentement des visiteurs via une bannière cookies conforme CNIL, (2) mentionner cet outil dans votre politique de confidentialité et (3) vous assurer que votre utilisation est conforme aux recommandations de la CNIL sur les données analytiques.
Sources : CNIL (cnil.fr) ; Règlement (UE) 2016/679 ; jurisdefi.com (Conformité RGPD TPE/PME 2025).