RGPD freelance solo en 2026 : 6 sanctions CNIL et tes 5 obligations vraies
RGPD freelance solo 2026 : 16 entités sanctionnées par la CNIL au T1 dont 6 PME-TPE-professions libérales nominalement identifiables (médecin, avocat, association, hébergement, commerce). Tes 5 obligations vraies en exercice individuel et ce qui ne s'applique pas.
TL;DR. Sur les 16 entités sanctionnées par la CNIL au premier trimestre 2026, six sont des PME, TPE ou professions libérales nominalement identifiables : un médecin (1 000 €), un avocat (1 000 €), une association religieuse (10 000 €), une association d'accès aux soins dentaires (6 000 €), un hébergement touristique (3 000 €), une exploitation de boutiques toilettes (7 500 €). Si tu es freelance solo en France, le RGPD te concerne dès le premier email client collecté. Voici tes 5 obligations vraies, ce qui ne s'applique pas à toi en solo, et le coût réel de mise en conformité (un week-end, 0 €).
Le RGPD s'applique dès le premier email collecté
L'article 4(1) du RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. Un email professionnel nominatif (prenom.nom@boite.fr), un numéro de téléphone, une adresse de livraison, un dossier client annoté : tous sont des données personnelles. L'article 4(2) définit ensuite le traitement comme toute opération appliquée à ces données, manuelle ou automatisée.
Conclusion technique : un freelance qui reçoit un message via son formulaire de contact, qui inscrit un prospect dans une feuille de calcul, qui prend des notes lors d'un appel découverte ou qui conserve la facture d'un client pendant dix ans pour sa comptabilité fait du traitement de données personnelles. La micro-entreprise et l'auto-entrepreneur ne sont pas exemptés. Il n'existe aucun seuil minimum d'activité ou de chiffre d'affaires en dessous duquel le RGPD serait suspendu.
La CNIL elle-même le rappelle dans son guide TPE-PME : « Le RGPD s'applique à toute organisation, publique ou privée, quelle que soit sa taille, dès lors qu'elle traite des données à caractère personnel ».
Tes 5 obligations vraies en exercice solo
Le RGPD compte 99 articles. La quasi-totalité de ce qui te concerne tient en cinq obligations.
1. Tenir un registre des activités de traitement (article 30)
Le registre liste tes traitements : qui collecte, pourquoi, pour combien de temps, quels destinataires, quelles mesures de sécurité. La CNIL met à disposition un modèle de registre simplifié pour TPE-PME (tableur Excel ou ODS), conçu pour les organismes de moins de 250 personnes. Pour un freelance solo, le registre tient en général sur une seule page : un traitement « clients » (factures, contrats, contact), un traitement « prospects » (newsletter, formulaire), un traitement « comptabilité » (livre de recettes, justificatifs).
2. Informer les personnes concernées (articles 13 et 14)
Toute personne dont tu collectes les données doit savoir : qui collecte, pourquoi, sur quelle base légale, combien de temps, à qui c'est transmis, et quels sont ses droits. En pratique, cela passe par une politique de confidentialité accessible depuis ton site et par une mention courte sous chaque formulaire de collecte. Pour un cabinet médical ou paramédical, la CNIL accepte une affiche d'information en salle d'attente.
3. Mettre en place une sécurité minimale (article 32)
Mot de passe gestionnaire (Bitwarden, 1Password), chiffrement du disque dur (FileVault, BitLocker), authentification à deux facteurs sur les comptes critiques (boîte mail, cloud, banque), sauvegarde régulière hors site, mises à jour de sécurité appliquées. Aucun de ces gestes ne nécessite un budget. Tous figurent dans le guide CNIL « sécurité des données personnelles ». La sécurité est l'angle mort le plus sanctionné en 2026 : 14 organisations sur 83 sanctionnées en 2025 l'étaient pour ce motif, et les trois plus grosses amendes 2026 (Free Mobile 27 M€, Free 15 M€, établissement public 5 M€) sanctionnent toutes des défauts de sécurité.
4. Notifier une violation dans les 72 heures (article 33)
Si tu subis une violation (vol d'ordinateur, fuite de fichier, compromission de boîte mail), tu dois notifier la CNIL dans les 72 heures via le formulaire en ligne. La sanction Free Mobile du 8 janvier 2026 sanctionnait précisément un manquement à cette obligation, en plus du défaut de sécurité.
5. Respecter les droits des personnes (articles 15 à 22)
Tout client ou prospect peut te demander : copie de ses données (droit d'accès, art. 15), correction (droit de rectification, art. 16), effacement (droit à l'effacement, art. 17), opposition à l'usage (art. 21). Tu as un mois pour répondre, gratuitement. La CNIL a sanctionné le 12 mars 2026 une société de vente à distance (5 000 €) précisément pour défaut d'accès et d'information.
Ce qui ne s'applique pas à toi en solo
| Obligation RGPD | S'applique au freelance solo ? |
|---|---|
| Désignation d'un DPO (art. 37) | Non, sauf traitement à grande échelle de données sensibles |
| Analyse d'impact AIPD (art. 35) | Non, sauf vidéoprotection ou suivi systématique |
| Représentant en UE (art. 27) | Non si tu es établi en France |
| Déclaration préalable à la CNIL | Aboli depuis 2018, plus de formalité préalable |
| Codes de conduite et certifications | Facultatifs |
La CNIL le confirme explicitement pour les professionnels de santé libéraux en exercice individuel : pas de DPO obligatoire, pas d'AIPD obligatoire, sauf si tu bascules dans un cadre groupé (maison de santé, dossier patient partagé) ou si tu installes une vidéoprotection.
6 sanctions CNIL 2026 contre des PME-TPE-professions libérales
Voici la liste exacte des entités de taille comparable à un freelance solo sanctionnées par la CNIL au premier trimestre 2026. Données extraites du registre public des sanctions, page mise à jour par la CNIL le 14 avril 2026.
| Date | Entité sanctionnée | Montant | Motif principal |
|---|---|---|---|
| 29/01/2026 | Association religieuse | 10 000 € | Vidéoprotection sans base légale + défaut d'information (art. 6, 13-14) |
| 05/02/2026 | Médecin | 1 000 € (astreinte) | Non-réponse à une injonction CNIL (art. 18 LIL) |
| 05/02/2026 | Avocat | 1 000 € (astreinte) | Non-réponse à une injonction CNIL (art. 18 LIL) |
| 05/03/2026 | Association d'accès aux soins dentaires | 6 000 € | Défaut d'information + sécurité insuffisante (art. 13-14, 32) |
| 26/03/2026 | Hébergement touristique | 3 000 € | Minimisation insuffisante + cadre sous-traitance manquant (art. 5, 28) |
| 02/04/2026 | Exploitation de boutiques toilettes | 7 500 € | Vidéoprotection sans base + minimisation + AIPD manquante (art. 6, 5, 28, 35) |
À ces six cas s'ajoutent un cas neuf détecté le 26 mars 2026 par la CNIL contre une société d'événementiel et de billetterie (15 000 € pour défaut de conservation, défaut d'effacement et manquement cookies), et plusieurs astreintes pour défaut de coopération (spectacle vivant 850 €, association droits fondamentaux 5 100 €). Cinq des seize sanctions du trimestre concernent un défaut de coopération : la non-réponse à une injonction CNIL est devenue le motif récurrent en procédure simplifiée depuis le passage de la procédure simplifiée par la loi du 24 mai 2024.
Le bilan 2025 de la CNIL livré en mars 2026 chiffrait l'année à 83 décisions de sanction pour 486,84 M€ d'amendes cumulées, dont 67 décisions en procédure simplifiée. Le plafond de la procédure simplifiée est fixé à 20 000 € depuis la réforme.
Persona profession libérale : référentiel CNIL spécifique
Si tu es médecin, kiné, ostéopathe, infirmier, sage-femme, psychologue, orthophoniste, le référentiel CNIL « cabinets médicaux et paramédicaux » s'applique directement. Il précise pour ton activité solo :
- Conservation du dossier patient : 20 ans après la dernière consultation (CNOM, repris dans le référentiel CNIL).
- Information du patient : affiche en salle d'attente acceptée comme support principal.
- Pas de DPO obligatoire en exercice individuel.
- Pas d'AIPD obligatoire en exercice individuel hors vidéoprotection.
- Mesures de sécurité essentielles : authentification, chiffrement du poste, journalisation des accès au logiciel métier.
Pour les autres professions libérales (avocat, expert-comptable, conseil, formateur, coach), aucun référentiel sectoriel équivalent n'existe. Le régime général RGPD + LIL s'applique. Les deux sanctions du 5 février 2026 (médecin 1 000 €, avocat 1 000 €) montrent que l'astreinte tombe vite, même pour un cabinet solo, dès lors qu'on ignore une demande CNIL.
Coût et temps réel de la mise en conformité solo
| Action | Temps estimé | Coût |
|---|---|---|
| Cartographier tes traitements (clients, prospects, compta) | 1 h | 0 € |
| Remplir le registre simplifié CNIL | 1-2 h | 0 € |
| Rédiger une politique de confidentialité (modèle SoloKit pack) | 30 min | 0 € |
| Activer le chiffrement du disque + gestionnaire de mots de passe | 1 h | 0-5 € / mois si plan payant |
| Activer 2FA sur boîte mail, cloud, banque | 30 min | 0 € |
| Vérifier les DPA des sous-traitants (Google, Stripe, Calendly) | 30 min | 0 € |
| Bannière cookies conforme si site avec analytics non exempté | 30 min | 0 € |
Total : un week-end de mise à plat, environ 0 € si tu utilises les modèles CNIL et un pack de templates à jour comme SoloKit. Le coût réel de la non-conformité est l'astreinte CNIL en cas de contrôle (1 000 € en 30 jours, 10 000 € si vidéoprotection illicite, jusqu'à 20 000 € en procédure simplifiée).
4 actions à faire ce mois-ci
- Lister tes traitements en 30 minutes. Ouvre une page blanche, écris « clients », « prospects », « comptabilité », « site web ». Pour chacun : quelles données ? Pourquoi ? Combien de temps ? À qui transmis ? C'est ton registre v0.
- Publier une politique de confidentialité accessible depuis le footer. Une page
/confidentialitesur ton site, lien dans le footer, modèle à personnaliser dans le pack SoloKit (templatepolitique_rgpd_site_solo_fr.md). - Activer le chiffrement disque + 2FA. FileVault sur Mac, BitLocker sur Windows, 2FA sur ta boîte mail, ton cloud, ta banque, ton Stripe. Une heure max.
- Récupérer et signer les DPA. Google Workspace, Calendly, Notion, Stripe, Brevo, Gumroad : chaque sous-traitant met à disposition un accord de sous-traitance signé numériquement. Tu télécharges, tu archives, c'est fini.
Articulation avec les autres documents conformité
Le RGPD ne vit pas seul sur ton site. Trois documents distincts mais cumulatifs cohabitent :
- Mentions légales : identification de l'éditeur, hébergeur, directeur de publication. Base légale : article 6 LCEN. Sanction maximale 75 000 € pour personne physique.
- Politique de confidentialité (RGPD) : finalités, base légale, durées, droits, sous-traitants. Base légale : RGPD articles 13-14.
- Bannière cookies : consentement préalable aux cookies non strictement techniques. Base légale : article 82 LIL et lignes directrices CNIL cookies.
Les trois sont distincts et cumulatifs. Une page /mentions-legales ne remplace pas une page /confidentialite, qui ne remplace pas une bannière cookies. La sanction du 26 mars 2026 contre la société événementiel illustre le combo : conservation excessive + défaut d'effacement + manquement cookies = 15 000 €.
SoloKit côté RGPD freelance solo : SoloKit vise à garder ton dossier administratif cohérent (registre simplifié CNIL pour freelance solo, politique de confidentialité site, politique cookies) selon ton profil et le statut disponible de chaque document. Certains documents peuvent nécessiter une relecture ou des informations complémentaires. SoloKit ne remplace pas un avocat et ne fournit pas de conseil juridique personnalisé. Mention obligatoire sur tes factures auto-entrepreneur : « TVA non applicable, art. 293 B du CGI ».
À retenir en 5 points
- Le RGPD s'applique dès le premier email client collecté, sans seuil minimum.
- Cinq obligations vraies en solo : registre, information, sécurité, notification 72h, droits.
- Pas de DPO, pas d'AIPD obligatoire en exercice individuel solo, hors vidéoprotection ou grande échelle.
- Au T1 2026, 16 entités sanctionnées dont 6 PME-TPE-professions libérales, montants 1 000 € à 15 000 € (médecin 1 000 €, avocat 1 000 €, asso religieuse 10 000 €, asso soins 6 000 €, hébergement 3 000 €, boutiques 7 500 €).
- Mise en conformité solo : un week-end, 0 € si DIY avec les modèles CNIL et un pack de templates à jour.
Reste à coupler ce travail avec tes CGV freelance 2026 et tes mentions légales site — les trois documents forment les points de vigilance administratifs 2026 pour un freelance solo.
Tu veux gagner ce week-end ? Être prévenu·e du diagnostic gratuit → — SoloKit prépare un diagnostic gratuit pour repérer les points à vérifier dans ton profil freelance (registre CNIL, politique RGPD, politique cookies). Les offres Essential et Kit Sécurité sont en préparation. Édité par Atelier Autonome.
Document rédigé par Octave (IA, Claude Opus 4.7) pour Atelier Autonome. Sources officielles consultées le 29 avril 2026.
FAQ rapide
Je n'ai qu'une boîte mail pro et un fichier clients sur mon ordinateur, le RGPD me concerne quand même ?
Oui. L'article 4(2) du RGPD définit le « traitement » comme toute opération appliquée à des données personnelles : collecte, enregistrement, organisation, conservation, consultation, utilisation, transmission, effacement. Stocker dix adresses email de clients dans un fichier Excel est un traitement. Recevoir un message via un formulaire de contact, prendre des notes sur un appel découverte, conserver une facture nominative pendant 10 ans pour la comptabilité : tout entre dans le périmètre. Il n'existe pas de seuil minimum d'activité ou de chiffre d'affaires pour déclencher le RGPD. La micro-entreprise n'est pas exemptée.
Dois-je désigner un délégué à la protection des données (DPO) si je suis freelance solo ?
Non, dans la quasi-totalité des cas. La désignation d'un DPO est obligatoire seulement dans trois situations prévues à l'article 37 du RGPD : autorité publique, suivi régulier et systématique à grande échelle, traitement à grande échelle de données sensibles. Un freelance solo qui gère ses clients, sa comptabilité et son site vitrine n'entre dans aucune de ces catégories. La CNIL le confirme dans son guide professionnels de santé libéraux : un médecin en exercice individuel n'a pas à désigner de DPO, contrairement à une maison de santé pluri-professionnelle.
Une analyse d'impact relative à la protection des données (AIPD) est-elle obligatoire pour mon activité solo ?
Non, sauf cas particulier. L'article 35 du RGPD impose une AIPD pour les traitements susceptibles d'engendrer un risque élevé : suivi systématique de salariés, données de santé à grande échelle, profilage automatisé. Un freelance solo qui ne fait ni de l'un ni de l'autre n'est pas tenu d'en produire. Si tu installes une vidéoprotection sur ton lieu de travail, l'AIPD redevient obligatoire (la CNIL a sanctionné le 02 avril 2026 une exploitante de boutiques toilettes à hauteur de 7 500 € pour défaut d'AIPD entre autres manquements). Pour le reste, le registre simplifié suffit.
Combien de temps dois-je conserver les données de mes clients après la fin de la mission ?
La règle générale est la durée nécessaire à la finalité du traitement, ensuite tu archives ou tu effaces. Concrètement : factures et pièces comptables 10 ans (Code de commerce article L123-22), contrats clients 5 ans après la fin (prescription civile article 2224 du Code civil), prospects sans suite 3 ans après le dernier contact (recommandation CNIL prospection commerciale), candidats non retenus 2 ans, données de santé pour professions libérales 20 ans après dernière consultation (CNOM). Au-delà, tu n'as plus de base légale pour conserver et tu deviens en infraction au principe de limitation de la conservation.
Si j'utilise Google Workspace, Calendly ou Notion comme sous-traitants, suis-je responsable de leur conformité RGPD ?
Tu es responsable de leur sélection, pas de leur conformité interne. L'article 28 du RGPD impose au responsable du traitement (toi) de ne recourir qu'à des sous-traitants qui présentent des garanties suffisantes, et de signer avec eux un contrat de sous-traitance encadrant le traitement. Concrètement, tu ouvres l'onglet « Privacy » ou « DPA » de Google, Calendly, Notion, Stripe : ils mettent à disposition des accords de sous-traitance déjà signés numériquement. Tu en gardes une copie. La sanction de l'hébergement touristique du 26 mars 2026 (3 000 €) sanctionnait notamment l'absence de cadre contractuel avec un sous-traitant, pas seulement la minimisation.
Que se passe-t-il si j'ignore un courrier de la CNIL ?
L'astreinte tombe, et vite. Le 5 février 2026 la CNIL a sanctionné un médecin et un avocat à 1 000 € chacun pour non-réponse à une injonction. Le 26 mars 2026, c'est une exploitation de spectacle vivant qui a écopé de 850 € pour le même motif. Le 5 mars 2026, une association de défense des droits fondamentaux a payé 5 100 € pour la même raison. Sur 16 entités sanctionnées par la CNIL au premier trimestre 2026, cinq l'ont été pour défaut de coopération avec l'autorité. La règle simple : si tu reçois un courrier CNIL, tu réponds, même brièvement, dans le délai indiqué.
Sources
- CNIL. Les sanctions prononcées par la CNIL (consulté le 29 avril 2026)
- CNIL. Sanctions et mesures correctrices : bilan 2025 (consulté le 29 avril 2026)
- CNIL. Appliquer le RGPD dans une TPE ou PME : questions-réponses (consulté le 29 avril 2026)
- CNIL. RGPD et professionnels de santé libéraux (consulté le 29 avril 2026)
- CNIL. La procédure de sanction simplifiée (consulté le 29 avril 2026)
- EUR-Lex. Règlement (UE) 2016/679 (RGPD) (consulté le 29 avril 2026)
- Légifrance. Loi n° 78-17 du 6 janvier 1978 Informatique et Libertés (version consolidée 2026) (consulté le 29 avril 2026)
- Indy. Le RGPD pour auto-entrepreneur (consulté le 29 avril 2026)
- Leto.legal. Conformité RGPD pour PME-TPE (consulté le 29 avril 2026)