Pourquoi le RGPD te concerne, même en solo
Dès que tu collectes, stockes ou traites des données personnelles — un nom, un email, un numéro de téléphone — tu es considéré comme "responsable de traitement" au sens du RGPD. Peu importe ta taille. Un freelance qui gère une liste de prospects dans un tableur est soumis aux mêmes principes qu'une PME. La différence, c'est l'échelle des obligations pratiques.
Les mentions légales : ce qui doit figurer sur ton site
Si tu as un site internet, les mentions légales sont obligatoires en France (loi pour la confiance dans l'économie numérique). Elles doivent indiquer :
— Ton nom et prénom (ou ta raison sociale)
— Ton adresse professionnelle (une boîte postale suffit si tu travailles depuis chez toi)
— Ton numéro SIRET
— Le nom et les coordonnées de ton hébergeur
— Si applicable, ton numéro de TVA intracommunautaire
En complément, si tu collectes des données via un formulaire de contact, tu dois ajouter une politique de confidentialité expliquant quelles données tu collectes, pourquoi, combien de temps tu les conserves, et quels sont les droits de tes visiteurs (accès, rectification, suppression).
Le registre des traitements : simple mais indispensable
Tout responsable de traitement doit tenir un registre des activités de traitement. Pour un freelance, ce registre peut être un simple tableau (Excel, Notion, Google Sheets) qui recense :
— Le nom du traitement (ex : "Gestion des prospects", "Facturation clients")
— La finalité (à quoi servent ces données ?)
— Les catégories de données traitées (nom, email, IBAN...)
— Les personnes concernées (clients, prospects, fournisseurs)
— La durée de conservation
— Les destinataires des données (ton logiciel de facturation, ton hébergeur mail...)
Tu n'as pas à le soumettre à la CNIL, mais tu dois pouvoir le présenter en cas de contrôle. Il prouve ta démarche de mise en conformité.
Les données clients : les bons réflexes au quotidien
Collecter uniquement ce dont tu as besoin — c'est le principe de minimisation. Tu n'as pas besoin de la date de naissance de ton client pour lui envoyer une facture. Quelques bonnes pratiques concrètes :
— Utilise un logiciel de facturation conforme (hébergement en Europe de préférence)
— Ne stocke pas des données clients sur des services cloud dont les serveurs sont exclusivement hors UE sans vérifier les garanties
— Supprime les données des prospects que tu ne recontacteras plus (au bout de 3 ans d'inactivité en général)
— Si tu sous-traites (graphiste, assistant virtuel), un accord de sous-traitance de données est recommandé
Les situations qui augmentent tes obligations
Certaines activités freelance impliquent des données sensibles ou en grande quantité, ce qui renforce tes obligations. C'est le cas si tu travailles dans le secteur de la santé, si tu fais du recrutement (CV de candidats), ou si tu gères une newsletter avec des milliers d'abonnés. Dans ces cas, la CNIL recommande de réaliser une analyse d'impact (AIPD) avant de lancer le traitement.
Par ailleurs, si tu travailles pour des clients qui te transmettent des données de leurs propres clients, tu es alors "sous-traitant". Ton client doit te soumettre un DPA (Data Processing Agreement) que tu as le droit de lire et de négocier.
Ce qu'il faut retenir
Le RGPD se résume à trois actions concrètes pour un freelance : rédiger ses mentions légales et sa politique de confidentialité, tenir un registre des traitements même sommaire, et adopter de bonnes pratiques de gestion des données clients. Ce n'est pas une montagne, mais c'est un minimum que l'on ne peut plus ignorer en 2025.
Sources : Règlement (UE) 2016/679 (RGPD) — CNIL.fr — Loi n°2004-575 du 21 juin 2004 (LCEN)