Le RGPD est entré en vigueur en 2018. Pourtant, en 2025, la majorité des freelances français travaillent toujours avec des outils et des pratiques qui les exposent à des sanctions. Non par mauvaise volonté, mais par méconnaissance de ce que la réglementation implique concrètement pour un indépendant.

La CNIL dispose d'un pouvoir de sanction pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Même si les poursuites contre de petites structures restent rares, votre client peut lui-même signaler un manquement - ce qui déclenche automatiquement une enquête.

Pourquoi le RGPD concerne aussi les freelances

Le RGPD s'applique à toute personne physique ou morale qui traite des données personnelles de résidents européens - sans seuil de taille ni de chiffre d'affaires. En tant que freelance, vous traitez des données personnelles dès que vous :

  • Enregistrez le nom, l'email ou le téléphone d'un contact client
  • Stockez des documents contenant des informations sur des tiers (devis, contrats, projets)
  • Utilisez un outil SaaS pour gérer vos projets ou votre facturation
  • Envoyez des emails via un prestataire tiers (Mailchimp, Sendinblue…)

Autrement dit : si vous avez un seul client, vous êtes concerné. Voici les 5 erreurs les plus fréquentes.

🇺🇸Hébergés aux USACloud Act ⚠️
  • Notion
  • ClickUp
  • Monday.com
  • Trello
  • Slack
  • Google Drive
  • Zapier
🇫🇷Hébergés en EuropeRGPD ✓
  • Hublio
  • Infomaniak
  • OVH Cloud
  • Scaleway
Les outils hébergés aux USA sont soumis au Cloud Act - les autorités américaines peuvent y accéder même si les serveurs sont en Europe.

Erreur #1 : des outils qui stockent vos données hors Europe

🚨

Risque : transfert de données hors UE sans garanties suffisantes - violation des articles 44 à 49 du RGPD.

Notion, ClickUp, Monday.com, Trello, Slack, Google Drive : ces outils sont tous hébergés aux États-Unis, soumis au Cloud Act américain. Cette loi autorise les autorités américaines à accéder aux données hébergées par des entreprises américaines, y compris sur des serveurs européens.

Concrètement, si vous stockez des données clients (nom, email, brief, contrat) dans ces outils, vous les transférez hors de l'UE sans base légale suffisante. Si votre client est une PME soumise au RGPD, il peut vous demander des garanties - et le fait que vous utilisez Notion sans Data Processing Agreement est un manquement.

Solution : privilégiez des outils hébergés en Europe (ou signez un DPA explicite avec les prestataires américains que vous utilisez) et stockez les données sensibles sur des solutions à hébergement français ou européen certifié.

Erreur #2 : partager vos outils internes avec vos clients

⚠️

Risque : exposition accidentelle de données confidentielles d'autres clients ou de votre organisation interne.

Donner à un client accès à votre Notion, votre ClickUp ou votre espace Google Drive est une pratique répandue - et risquée. Même avec des permissions restreintes, un client peut tomber sur les noms d'autres clients, des devis, des notes internes ou des données financières que vous n'aviez pas l'intention de partager.

Le RGPD exige que vous limitiez l'accès aux données au strict nécessaire (principe de minimisation). Donner un accès large à votre espace de travail interne va à l'encontre de ce principe.

Solution : créez un espace dédié pour chaque client, distinct de vos outils internes. Un portail client séparé, accessible uniquement pour les données qui le concernent, est la bonne pratique.

Cadenas de sécurité posé sur un clavier d'ordinateur symbolisant la protection des données personnelles et la conformité RGPD pour les freelances
Protéger les données de vos clients est une obligation légale du RGPD - même pour les micro-entreprises et indépendants français · Photo : Sasun Bughdaryan / Unsplash

Erreur #3 : pas de politique de confidentialité

⚠️

Risque : obligation d'information non respectée - article 13 du RGPD.

Le RGPD impose d'informer les personnes dont vous collectez des données de : qui vous êtes, quelles données vous collectez, pourquoi, combien de temps vous les conservez, et quels sont leurs droits.

Si vous avez un site web, cette information doit figurer dans une politique de confidentialité accessible. Si vous collectez des données via un formulaire (brief client, formulaire d'onboarding, formulaire de contact), vous devez mentionner ces informations au moment de la collecte.

Solution : rédigez une politique de confidentialité simple et publiez-la sur votre site. Des générateurs gratuits existent (CookieYes, Iubenda), mais personnalisez le résultat en fonction de vos pratiques réelles.

Erreur #4 : conserver les données indéfiniment

⚠️

Risque : non-respect du principe de limitation de la durée de conservation - article 5(1)(e) du RGPD.

Le RGPD interdit de conserver des données personnelles au-delà de la durée nécessaire à leur finalité. En pratique : vous ne pouvez pas garder le brief d'un client de 2019 indéfiniment "au cas où". Une fois la mission terminée, vous devez définir une durée de conservation et la respecter.

Règles pratiques : documents comptables et contrats = 10 ans (obligation légale). Données de communication (emails, briefs) = 3 ans après la fin de la relation commerciale. Données de prospection = 3 ans après le dernier contact.

Erreur #5 : oublier de déclarer vos sous-traitants

⚠️

Risque : absence de registre des activités de traitement - article 30 du RGPD.

Chaque outil SaaS que vous utilisez et qui traite des données de vos clients est un sous-traitant au sens du RGPD. Vous devez les identifier et les mentionner dans votre registre des traitements - ou au minimum dans votre politique de confidentialité.

Exemples courants non déclarés : Stripe (paiements), Mailchimp ou Brevo (emails), Calendly (rendez-vous), Notion (gestion de projet), Google Workspace (fichiers). Chacun de ces outils traite des données de vos clients en votre nom - vous en êtes responsable vis-à-vis de la CNIL.

💡

Hublio est hébergé en France, conforme RGPD natif - vos données clients ne quittent jamais l'Europe. Consulter notre politique de confidentialité →

Quiz : êtes-vous conforme ?

Testez votre niveau de conformité RGPD actuel en répondant à ces 5 questions concrètes basées sur vos pratiques quotidiennes.

Récapitulatif - Les 5 erreurs RGPD fréquentes

  • 1🌐Outils hors EuropeÉlevé
  • 2🔓Accès interne partagéModéré
  • 3📄Pas de politique confidentialitéModéré
  • 4🗄️Conservation indéfinieModéré
  • 5🔗Sous-traitants non déclarésModéré

Quiz : êtes-vous conforme RGPD ?

5 questions · 2 minutes · résultat immédiat

1.Quel outil utilisez-vous pour partager des fichiers avec vos clients ?

2.Vos clients ont-ils accès à votre outil de gestion de projet (Notion, ClickUp, Monday…) ?

3.Avez-vous une politique de confidentialité sur votre site ou dans vos contrats ?

4.Que faites-vous des données d'un client après la fin de la mission ?

5.Avez-vous listé les outils tiers (Stripe, Resend, Dropbox…) que vous utilisez dans vos mentions légales ?

Ce quiz est indicatif. Pour une analyse complète, consultez les ressources de la CNIL ou un avocat spécialisé.