RGPD pour sophrologue et thérapeute bien-être : guide pratique
Le RGPD fait peur. Beaucoup de praticiens bien-être préfèrent ne pas trop y penser, en espérant rester sous les radars. Mauvaise stratégie : depuis 2018, le règlement européen s'applique à toute personne ou entreprise qui collecte des données personnelles de résidents européens — y compris le sophrologue indépendant avec un simple formulaire de contact.
Bonne nouvelle : la mise en conformité d'un praticien bien-être en activité libérale est beaucoup plus simple que celle d'une grande entreprise. Voici ce que vous devez vraiment faire.
Ce que dit le RGPD et pourquoi ça vous concerne
Le Règlement Général sur la Protection des Données (RGPD) encadre la collecte, le traitement et la conservation des données à caractère personnel. Une donnée personnelle, c'est toute information qui permet d'identifier directement ou indirectement une personne : nom, email, téléphone, mais aussi adresse IP, historique de navigation, etc.
Dès que vous avez un formulaire de contact, un agenda de prise de RDV en ligne, une newsletter ou un système de caisse qui enregistre les noms de vos clients, vous traitez des données personnelles. Le RGPD vous oblige alors à respecter plusieurs principes.
Les 5 obligations essentielles pour un praticien bien-être
1. Publier une politique de confidentialité sur votre site
C'est le document qui explique à vos visiteurs :
- Quelles données vous collectez (ex : nom, email via le formulaire de contact)
- Pourquoi (répondre à une demande, envoyer une newsletter, gérer les RDV)
- Combien de temps vous les conservez (en général, durée de la relation professionnelle + 3 ans)
- Qui y a accès (vous seul, ou des prestataires comme votre outil de prise de RDV)
- Comment exercer ses droits (accès, rectification, suppression, opposition)
La politique de confidentialité doit être accessible depuis chaque page de votre site, généralement via un lien en bas de page.
2. Mettre en place un bandeau cookies
Si votre site utilise des cookies (Google Analytics, Meta Pixel, outils de chat...), vous devez demander le consentement des visiteurs avant de les déposer. Un simple bandeau qui affiche "Ce site utilise des cookies" et propose d'Accepter/Refuser est généralement suffisant pour un site vitrine de praticien.
Si vous n'utilisez aucun outil de tracking, vous n'avez pas besoin de bandeau cookies — mais mentionnez-le dans votre politique de confidentialité.
3. Sécuriser les données de vos clients
Vous n'avez pas besoin d'être ingénieur pour respecter ce principe :
- Utilisez un mot de passe fort pour votre messagerie professionnelle
- Stockez les fiches clients sur un appareil protégé par mot de passe
- Utilisez des outils professionnels reconnus pour la prise de RDV (Calendly, Koalendar, Acuity Scheduling, etc.)
- Ne transmettez jamais de données clients par email non chiffré (ou du moins, évitez de le faire inutilement)
4. Ne pas conserver les données plus longtemps que nécessaire
Vous n'avez pas besoin de garder le dossier d'un client 10 ans après sa dernière séance. Définissez une durée de conservation raisonnable (3 ans après la fin de la relation en général) et appliquez-la.
5. Obtenir un consentement clair pour la newsletter
Si vous envoyez une newsletter, vous devez avoir obtenu un consentement explicite de la personne :
- Une case à cocher (non pré-cochée) au moment de l'inscription
- Un lien de désinscription dans chaque email
- Pas d'email envoyé à quelqu'un qui ne s'est pas inscrit
Importer une liste de contacts que vous avez récupérée autrement (fichier acheté, liste de clients qui ne se sont pas abonnés) est interdit.
Ce que vous n'avez probablement pas besoin de faire
Beaucoup de praticiens croient qu'ils doivent :
- Nommer un DPO (Délégué à la Protection des Données) → Non, sauf si vous traitez des données à grande échelle ou des données sensibles en quantité importante.
- S'enregistrer auprès de la CNIL → Non, cet enregistrement préalable a été supprimé avec le RGPD.
- Rédiger un registre de traitement ultra-détaillé → Oui, vous devez en tenir un, mais sous une forme simplifiée pour les petites structures. Un tableur avec vos types de traitement suffit.
La donnée de santé : un cas particulier (article 9 RGPD)
Les notes que vous prenez sur vos clients (motifs de consultation, difficultés évoquées, évolution...) peuvent constituer des données de santé au sens de l'article 9 du RGPD — une catégorie spécialement protégée qui exige un niveau de sécurité renforcé et un consentement explicite de la personne concernée pour être traitée.
Cela ne signifie pas que vous ne pouvez pas les tenir — mais vous devez :
- Les conserver de manière sécurisée (appareil protégé par mot de passe, pas de cloud non sécurisé)
- Ne pas les partager sans consentement explicite écrit
- Permettre à vos clients de demander leur accès, rectification ou suppression
- Les mentionner dans votre registre des activités de traitement (RAT)
En pratique : gardez vos notes de séance sur un carnet ou un ordinateur protégé, et ne les partagez avec personne (sauf obligation légale).
Votre registre des activités de traitement (RAT)
Toute organisation qui traite des données personnelles doit tenir un registre des activités de traitement. Pour un praticien bien-être indépendant, ce registre peut prendre la forme d'un simple tableau qui liste :
- La nature des données collectées (fiches clients, emails, RDV...)
- La finalité du traitement (gestion des séances, newsletter, facturation...)
- La durée de conservation
- Les personnes ou outils qui y ont accès
Ce document n'est pas à envoyer à la CNIL, mais doit être disponible sur demande en cas de contrôle.
Vos outils de prise de RDV sont-ils conformes RGPD ?
Calendly, Koalendar, Acuity Scheduling, Google Agenda partagé... ces outils traitent les données de vos clients en votre nom. Pour être conforme, vous devez :
- Vérifier que l'outil dispose d'un accord de traitement des données (DPA) accessible
- Préférer des serveurs hébergés en Europe quand c'est possible
- Informer vos clients que leurs données transitent par cet outil dans votre politique de confidentialité
Calendly et Koalendar disposent de DPA conformes. Un Google Agenda non configuré pour le partage professionnel est à éviter pour les données clients. Doctolib est réservé aux professionnels de santé réglementés (médecins, kinésithérapeutes...) et n'est pas accessible aux praticiens bien-être non réglementés.
Par où commencer si vous partez de zéro ?
- Faites l'inventaire de tout ce que vous collectez : formulaire de contact, prise de RDV, newsletter, notes de séance, fichier clients, outils de paiement.
- Rédigez une politique de confidentialité simple. Des générateurs en ligne existent, mais adaptez-les à votre réalité.
- Vérifiez vos consentements : est-ce que les personnes inscrites à votre newsletter ont vraiment donné leur accord explicite ?
- Ajoutez les liens vers vos mentions légales et politique de confidentialité en bas de toutes vos pages.
Vérifiez la conformité de votre site en quelques minutes
Visible & Conforme analyse votre site et vérifie la présence des éléments de conformité (mentions légales, politique de confidentialité, bandeau cookies) et les formulations à risque juridique dans vos textes.
Analyser mon site gratuitement →
À lire aussi : Mentions légales pour praticien bien-être : ce qui est obligatoire
Vérifiez vos propres textes
Visible & Conforme analyse votre site et signale les formulations à risque, avec des suggestions adaptées à votre activité.