Vous collectez quotidiennement les données personnelles de vos clients et prospects. Nom, prénom, email, téléphone, notes de séance, historique de rendez-vous, informations de santé… Ces données ne sont pas anodines. Leur gestion est encadrée par le RGPD depuis 2018 et les sanctions pour non-respect sont lourdes.
Mais concrètement, quels types de données avez-vous le droit de collecter ? Dans quelles conditions ? Que risquez-vous si vous ne respectez pas les règles ?
Houjo vous explique tout en clair !
Ce qu’il faut savoir avant de commencer
Le RGPD (Règlement Général sur la Protection des Données) s’applique à tous les professionnels qui collectent des données personnelles : coachs de vie, thérapeutes, sophrologues, praticiens du bien-être, coachs professionnels, hypnothérapeutes, etc.
Il n’existe aucun seuil de chiffre d’affaires. Dès que vous avez un client, dès que vous collectez un email, dès que vous prenez une note de séance, vous êtes concerné.
Les sanctions en cas de non-conformité sont substantielles : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel pour les violations les plus graves. Mais même les petites entorses sont sanctionnées.
Ces sanctions s’appliquent aussi aux micro-entrepreneurs et aux solopreneurs, contrairement à ce qu’on peut parfois lire.
Les principes fondamentaux du RGPD applicables à la collecte
Le RGPD repose sur 5 grands principes que vous devez absolument connaître. Ils s’appliquent dès que vous commencez à collecter une donnée.
Transparence et consentement
Vos clients doivent savoir pourquoi et comment vous collectez leurs données. Ils doivent donner leur consentement explicite, de manière libre, spécifique et informée. Le consentement doit être un acte volontaire.
Confidentialité absolue
Les données collectées doivent rester confidentielles. Vous ne pouvez jamais les transmettre à un tiers sans l’accord préalable écrit de la personne concernée. Cela inclut les sous-traitants, les partenaires, les collègues.
Sécurité des données
Les informations doivent être sauvegardées dans un endroit sûr. Cela signifie concrètement : mots de passe forts, accès limité, chiffrement si possible, sauvegardes régulières. À la maison, en cabinet comme en ligne.
Limitation de la collecte
Vous ne devez collecter que les données strictement nécessaires à votre activité. Demander la date de naissance, le lieu de naissance, le numéro de Sécurité sociale quand seul le nom et l’email suffisent ? C’est non conforme.
Durée limitée de conservation
Vous ne pouvez pas conserver les données indéfiniment. Une donnée non utile doit être supprimée. Généralement, les données clients doivent être conservées 3 ans maximum après la fin de la relation commerciale.
Quels types de données pouvez-vous collecter
Les données courantes (données personnelles standard)
Les données personnelles sont définies légalement comme toute information se rapportant à une personne physique identifiée ou identifiable.
Voici ce que vous avez le droit de collecter, à condition de respecter les 5 principes ci-dessus :
- Données d’identité : nom, prénom, date de naissance (si justifiée)
- Données de contact : email, téléphone, adresse postale
- Données relatives au paiement : coordonnées bancaires, historique de facturation
- Données relatives à l’accompagnement : notes de séance, objectifs du client, historique des rendez-vous
- Données techniques : adresse IP, cookies (si le client accepte)
- Données de navigation : comportement sur votre site
Chacune de ces données peut être directement identifiante (ex : nom, email) ou indirectement identifiante (ex : un identifiant unique que vous attribuez au client, ou un croisement d’informations qui permet de reconnaître quelqu’un).
Comment savoir si une personne est identifiable
La CNIL (autorité française de protection des données) donne une définition large. Une personne est identifiable si vous pouvez, seul ou en croisant d’autres données, établir un lien clair avec elle.
Exemple : vous avez un formulaire « âge + secteur d’activité + région ». Si vous n’avez qu’une seule cliente thérapeute de 45 ans en Nouvelle-Aquitaine qui consulte votre site, elle est identifiable par ces seules données. Donc, ce sont des données personnelles.
En tant que professionnel de l’accompagnement, vous êtes particulièrement concerné par ce point : vous collectez des informations très personnelles qui permettent facilement d’identifier quelqu’un.
Les données sensibles : des restrictions strictes
Au sein des données personnelles, il existe une catégorie encore plus protégée : les données sensibles.
Ces données concernent :
- l’origine raciale ou ethnique,
- les opinions politiques,
- les convictions religieuses, philosophiques ou syndicales,
- l’appartenance à un syndicat,
- les données génétiques,
- les données biométriques (empreintes digitales, reconnaissance faciale),
- les données de santé,
- les données relatives à la vie sexuelle ou à l’orientation sexuelle.
Dans les métiers du coaching, de l’accompagnement et du bien-être, vous pouvez être amené à collecter ce type de données : un client peut vous confier sa dépression, son anxiété, ses troubles du sommeil, ses questions existentielles ou sa spiritualité.
Règles strictes de collecte de données sensibles
Le consentement doit être actif (pas de case préchochée), écrit, spécifique (consentir au partage de données sensibles pour une raison précise, pas un consentement général vague).
Comment collecter les données correctement
Étape 1 : Comprendre le droit à l’information
Avant de collecter la moindre donnée, vos clients doivent savoir :
- qui vous êtes (votre nom, statut, coordonnées),
- pourquoi vous collectez leurs données (finalité : prise de rendez-vous, suivi de l’accompagnement, facturation…),
- comment vous allez les utiliser,
- combien de temps vous les conserverez,
- quels sont leurs droits (accès, rectification, suppression, portabilité),
- qui contacter s’ils ont une question.
Cette information doit être claire, compréhensible et facilement accessible. Pas de jargon technique, pas de texte minuscule en bas de page. Un vrai engagement envers le client.
Étape 2 : Obtenir le consentement
Pour les données personnelles non sensibles, une information claire suffit. Le simple fait que le client remplisse votre formulaire, envoie un email ou continue la navigation après avoir lu une mention conforme constitue un consentement valide.
Pour les données sensibles (santé, convictions religieuses, données génétiques, données biométriques), le consentement doit être explicite, actif et enregistré. Un simple formulaire de prise de rendez-vous ne suffit pas. Vous devez documenter que le client a consenti au traitement de ces données sensibles de manière spécifique et consciente.
Étape 3 : Documenter votre politique de confidentialité
C’est obligatoire. Cette politique explique concrètement comment vous traitez les données. Elle n’est pas un document théorique : elle engage votre responsabilité.
Votre politique doit couvrir :
- qui est responsable du traitement,
- les types de données collectées,
- les finalités,
- la base légale du traitement,
- combien de temps vous conservez les données,
- qui a accès aux données (vous seul, des sous-traitants ?),
- comment les données sont sécurisées,
- les droits des personnes,
- comment faire une réclamation auprès de la CNIL,
- comment accéder à ses données ou demander leur suppression.
⚠️ Vous devez avoir une politique de confidentialité même si vous n’avez pas de site internet ni présence en ligne.
Étape 4 : Sécuriser les données collectées
Une fois collectées, les données doivent être protégées.
Cela signifie concrètement :
- Des accès limités : seules les personnes qui en ont besoin peuvent consulter les données,
- Des mots de passe forts : combinaison de majuscules, minuscules, chiffres, caractères spéciaux (au moins 12 caractères),
- Du chiffrement si possible : surtout pour les données sensibles ou lors de transferts,
- Des sauvegardes régulières : en cas d’incident, vous pouvez récupérer les données,
- Une restriction d’accès physique : si vous imprimez des données, rangez-les sous clé.
Étape 5 : Bien gérer les outils tiers
De nombreux coachs et thérapeutes utilisent des outils externes : Calendly pour les rendez-vous, Zoom pour les vidéos, Stripe ou PayPal pour les paiements, Google Forms pour les questionnaires, etc.
Chaque outil qui accède à vos données clients doit être mentionné dans votre politique de confidentialité. Et vous devez vérifier que cet outil respecte le RGPD et propose une clause de traitement de données.
Étape 6 : Établir une durée de conservation
Vous ne pouvez pas garder les données indéfiniment.
La durée dépend de la finalité :
- Données de facturation : conservez 10 ans (obligation comptable),
- Données de contact/relationnel : en général 3 ans après la fin de la relation,
Une fois la durée écoulée, supprimez les données ou rendez-les anonymes. Conserver des données « au cas où » n’est pas conforme.
Les erreurs fréquentes à éviter
Voici ce qu’on voit très souvent chez les professionnels de l’accompagnement, et qui crée des problèmes :
Copier-coller une politique de confidentialité
Trouver un modèle gratuit sur internet et le publier tel quel. C’est illégal (plagiat) et risqué (le modèle ne correspond probablement pas à votre activité réelle). En cas de contrôle, vous ne pourrez pas justifier pourquoi tel outil est utilisé ou telle donnée est collectée.
Ne pas mentionner les données sensibles
Beaucoup de thérapeutes oublient que la santé est sensible et traitent ces données sans précaution particulière. C’est un problème majeur.
Conserver des données « au cas où »
Garder les données de tous les anciens clients pendant 10 ans « pour relancer » ou « au cas où ils reviendraient ». Pas conforme.
Ne pas chiffrer les données de santé
Stocker les informations thérapeutiques dans un fichier Excel non protégé, accessible à tous. C’est très risqué.
Utiliser des outils non conformes
Un outil gratuit sans clause RGPD, basé en dehors de l’UE, sans chiffrement. À vérifier avant d’utiliser.
Partager les données sans accord
Transmettre l’email d’un client à un partenaire ou un collègue sans le lui demander. Même avec les meilleures intentions.
FAQ – Collecte de données RGPD pour coachs et thérapeutes
Dois-je vraiment avoir une politique de confidentialité ?
La politique de confidentialité est obligatoire dès que vous collectez des données. Même si vous n’avez qu’un client et que vous collectez juste un email, la politique est requise.
Puis-je utiliser un modèle gratuit ?
C’est risqué. Un modèle générique ne prend en compte ni vos outils réels, ni votre mode d’exercice, ni la nature de vos données. En cas de contrôle, vous serez en difficulté. Mieux vaut investir dans une politique adaptée.
Combien de temps je peux garder les données clients ?
Cela dépend de la finalité. Pour la facturation, 10 ans (obligation légale) et pour les données relationnelles, généralement 3 ans après la fin de la relation.
Et si un client refuse que je collecte ses données ?
C’est son droit. Vous ne pouvez pas imposer la collecte d’une donnée non essentielle. Si la donnée est indispensable à votre prestation, vous devez l’expliquer clairement.
Peut-on accepter un paiement sans politique de confidentialité ?
Non. Toute transaction implique des données (identité, adresse, cordonnées bancaires). Vous avez besoin d’une politique, même minimale.
Je suis micro-entrepreneur, suis-je concerné ?
Le RGPD s’applique à tous les professionnels, y compris les micro-entrepreneurs.
Quels sont les droits de mes clients concernant leurs données ?
Ils ont le droit d’accéder à leurs données, de les rectifier, de les faire supprimer, de demander la portabilité (récupérer leurs données dans un format standard), de s’opposer au traitement. Vous devez pouvoir répondre à ces demandes dans un délai de 30 jours.
Sécurisez votre activité avec Houjo
Vous avez compris l’enjeu : respecter le RGPD n’est pas optionnel, c’est un fondamental pour exercer légalement et sereinement.
Chez Houjo, nous constatons que beaucoup de coachs, praticiens et thérapeutes découvrent ces obligations trop tard, quand un problème surgit ou lors d’un contrôle. Cela crée du stress inutile.
Rejoignez les coachs et thérapeutes qui ont décidé de sécuriser leur activité avec un cadre juridique clair, simple et adapté.
👉 Découvrez les packs juridiques Houjo et mettez fin à l’insécurité.
Pourquoi les coachs et thérapeutes doivent avoir un contrat de vente en béton | Houjo
[…] confidentialité et de protection des données personnelles (RGPD), surtout si vous recueillez des informations sensibles sur vos […]