RGPD et éducateur canin : mettre son site en conformité

Le RGPD, Règlement Général sur la Protection des Données, s'applique à vous dès que vous collectez une donnée personnelle. Un prénom. Une adresse email. Un numéro de téléphone. Même en tant qu'auto-entrepreneur avec 12 clients par mois.

La question n'est pas « est-ce que je suis assez grand pour être concerné ? ». C'est « est-ce que je collecte des données ? ». Si la réponse est oui, et elle l'est dès que vous avez un formulaire de contact, vous êtes concerné.

Concrètement, ça veut dire quoi ? Trois obligations principales. Informer les personnes de ce que vous faites de leurs données. Ne collecter que ce dont vous avez réellement besoin. Et être capable de supprimer ces données si quelqu'un vous le demande. Pas de registre de 40 pages. Pas d'avocat. Juste trois réflexes à intégrer dans votre site.

C'est là que la majorité des éducateurs canins sont en infraction sans le savoir. Votre formulaire collecte des données. Mais est-ce qu'il explique pourquoi, combien de temps vous les conservez, et ce que le prospect peut faire pour les récupérer ou les supprimer ?

Probablement pas.

Ce qu'il faut ajouter, c'est simple : une ligne sous le formulaire du type « Les données collectées via ce formulaire sont utilisées uniquement pour répondre à votre demande. Elles ne sont pas transmises à des tiers. Conformément au RGPD, vous disposez d'un droit d'accès, de modification et de suppression. » Avec un lien vers votre politique de confidentialité.

Cette politique de confidentialité, distincte des mentions légales, doit exister sur votre site. Une page dédiée, accessible depuis le pied de page. Elle n'a pas besoin d'être longue. Elle doit être claire. Un modèle gratuit adapté aux indépendants existe sur le site de la CNIL.

Vous avez peut-être installé une bannière cookies sur votre site. Mais est-ce qu'elle est conforme ? Depuis les nouvelles lignes directrices de la CNIL en 2021, confirmées depuis, une bannière conforme doit permettre de refuser les cookies aussi facilement que de les accepter.

Autrement dit : un bouton « Accepter » et un bouton « Refuser » au même niveau. Pas un bouton vert bien visible et un lien gris en petit qui renvoie vers les paramètres.

Si vous utilisez Google Analytics, ce qui est courant, vous déposez des cookies de mesure d'audience. Vous devez donc avoir une bannière conforme. Un outil comme Axeptio ou CookieYes permet de gérer ça proprement, pour moins de 10€ par mois. C'est moins qu'une séance de toilettage. Et ça vous protège d'une mise en demeure.

Si vous n'utilisez aucun outil d'analyse et que vous n'avez pas de pixel Facebook ou de Google Tag Manager, vous pouvez légitimement vous passer de bannière cookies. Vérifiez d'abord.

Vous avez commencé à collecter des emails pour envoyer vos actualités, vos conseils, vos offres de stage ? Bien. Mais avez-vous obtenu un consentement explicite pour chaque adresse ?

Le consentement, ça ne s'entend pas. Ça ne se déduit pas. Une case précochée sur un formulaire, ça ne compte pas. Le prospect doit cocher lui-même une case du type « J'accepte de recevoir la newsletter de [votre nom] ». Case vide par défaut. Opt-in actif.

Si vous avez importé des contacts depuis votre téléphone, un tableur ou un carnet, sans qu'ils aient coché cette case, vous ne pouvez pas légalement leur envoyer d'emails commerciaux. C'est inconfortable à entendre. Mais c'est la règle, et la CNIL sanctionne, y compris les petites structures.

Si vous utilisez Mailchimp ou Brevo pour vos envois, ces outils gardent une trace des consentements. C'est leur point fort. Utilisez-les bien.

Vous avez le droit de conserver des données personnelles. Mais pas indéfiniment. La règle générale : aussi longtemps que nécessaire pour la finalité pour laquelle elles ont été collectées.

Un prospect qui ne vous a jamais rappelé ? Ses données n'ont plus de raison d'être dans votre boîte mail après 1 an. Un ancien client dont le suivi est terminé ? 3 ans est une durée raisonnable pour les données contractuelles, c'est le délai de prescription courant pour les litiges commerciaux.

Pas besoin d'un logiciel dédié. Une règle simple dans votre organisation suffit : chaque année, vous faites le tri. Vous supprimez les contacts inactifs depuis plus de 12 mois. Vous archivez les dossiers clients clôturés depuis plus de 3 ans. Ça prend une heure. Et ça vous met en conformité sur un point que peu de professionnels respectent.

1. Ajoutez une ligne d'information RGPD sous chaque formulaire de contact, avec un lien vers votre politique de confidentialité. 2. Rédigez une page « Politique de confidentialité » distincte des mentions légales (le générateur de la CNIL est un bon point de départ).

3. Vérifiez votre bannière cookies : le bouton « Refuser » doit être aussi visible que « Accepter ». 4. Contrôlez vos listes email, chaque contact doit avoir coché une case d'opt-in explicite.

5. Fixez une règle de conservation : prospects inactifs supprimés après 12 mois, dossiers clients archivés après 3 ans. 6. Vérifiez que votre hébergeur (OVH, o2switch, Infomaniak) est bien basé en Europe ou garantit un traitement des données conforme au RGPD.