AccueilBlogDécryptage
Décryptage 13 juin 2026 ⏱️ 9 min min de lecture

Carnet alimentaire et RGPD : pourquoi vos fichiers clients sont une bombe à retardement

Le carnet alimentaire de votre client n'est pas une simple liste de courses : c'est une donnée de santé au sens de l'article 9 du RGPD, soumise au régime le plus strict. Une fuite peut vous coûter jusqu'à 4 % de votre chiffre d'affaires. Voici comment vous mettre en règle sans paperasse inutile.

Par Sami Hami Courtier responsable · ORIAS 22001730
⚡ L'essentiel
  • Carnet alimentaire, allergies, pathologies, photos corporelles : tout cela relève des « données concernant la santé » (art. 4-15 RGPD), catégorie spéciale de l'article 9.
  • Le consentement explicite et écrit est la seule base légale viable pour la plupart des coachs en nutrition.
  • La CNIL a sanctionné en 2024 plusieurs professionnels du bien-être de 1 500 à 30 000 € pour défaut de registre et de mesures de sécurité.
  • Un coffre-fort numérique chiffré et une politique de conservation claire suffisent à neutraliser 90 % du risque.

Pourquoi vos données clients sortent du droit commun

Le Règlement général sur la protection des données distingue deux régimes : les données « ordinaires » (nom, adresse, téléphone) et les données de l'article 9, dites « catégories particulières ». Leur traitement est, par principe, interdit, sauf exceptions limitativement énumérées.

Ce que vous traitez sans le savoir

  • Données de santé : pathologies déclarées, traitements médicamenteux, allergies, intolérances, antécédents familiaux, troubles du comportement alimentaire, IMC, tour de taille, composition corporelle, photos avant/après
  • Données biométriques : photos morphologiques, mesures corporelles précises
  • Données potentiellement religieuses : régime hallal, casher, restrictions liées à des pratiques spirituelles
  • Données sensibles indirectes : grossesse, ménopause, vie sexuelle (libido et alimentation)

Le Comité européen de la protection des données a précisé en 2023 (lignes directrices 03/2023) que tout indicateur permettant de déduire l'état de santé d'une personne doit être traité comme une donnée de santé. Votre fiche client classique en remplit la plupart des critères dès la première séance.

La base légale : pourquoi le consentement est votre seule option

L'article 9-2 du RGPD liste dix exceptions au principe d'interdiction. La plupart vous sont fermées :

  • « Médecine préventive ou diagnostic médical » (art. 9-2-h) → réservé aux professionnels de santé soumis au secret médical. Vous n'en êtes pas.
  • « Sauvegarde des intérêts vitaux » (art. 9-2-c) → urgences uniquement
  • « Intérêt public » (art. 9-2-i) → études épidémiologiques

Reste l'article 9-2-a : le consentement explicite. C'est votre base légale unique en pratique.

Les trois caractéristiques du consentement valide

  1. Libre : le client doit pouvoir refuser sans perdre l'accès à votre prestation principale. Vous pouvez exiger les allergies (nécessaires à votre mission), mais pas un suivi photographique mensuel s'il n'est pas indispensable.
  2. Spécifique : une case à cocher par finalité. Une seule case « j'accepte tout » est nulle.
  3. Éclairé : information préalable sur les finalités, la durée de conservation, les destinataires, les droits du client.

Un consentement obtenu oralement « je vous demande votre accord pour noter votre poids » est juridiquement faible. Préférez une case dans le contrat d'accompagnement ou un formulaire spécifique signé.

Les six obligations concrètes qui s'imposent à vous

1. Le registre des traitements (art. 30 RGPD)

Même en deçà de 250 salariés, traiter des données de l'article 9 oblige à tenir un registre. La CNIL en propose un modèle simplifié. Il décrit pour chaque traitement : finalité, catégories de données, durée de conservation, mesures de sécurité.

2. L'information préalable (art. 13 RGPD)

Une mention claire dans votre contrat d'accompagnement ou un document distinct, précisant : qui vous êtes, ce que vous collectez, pourquoi, pendant combien de temps, à qui vous transmettez, les droits du client (accès, rectification, effacement, portabilité, opposition).

3. La sécurité technique (art. 32 RGPD)

  • Chiffrement du disque dur de votre ordinateur (BitLocker sous Windows, FileVault sur Mac : gratuits)
  • Mot de passe robuste sur tout outil contenant des données clients
  • Hébergement des données en Europe (Google Drive standard hors UE = problème ; Proton Drive, Tresorit, OVH = conformes)
  • Sauvegarde chiffrée hors site

4. La durée de conservation

La CNIL recommande une durée maximale alignée sur la prescription civile : 5 ans après la fin de l'accompagnement pour les données de suivi, prolongeable jusqu'à 10 ans si une contestation pourrait survenir. Au-delà : suppression effective ou anonymisation.

5. L'AIPD (analyse d'impact) – art. 35 RGPD

Obligatoire dès lors que vous traitez à grande échelle des données de santé. Pour un coach indépendant, ce n'est généralement pas requis. Dès que vous dépassez quelques centaines de clients actifs simultanés, l'AIPD devient prudente.

6. La notification de violation (art. 33 RGPD)

En cas de fuite (ordinateur volé, compromission d'un compte), 72 heures pour notifier la CNIL si la violation présente un risque, et informer les clients concernés si le risque est élevé.

Les sanctions : ce que la CNIL fait vraiment

Beaucoup de coachs pensent que la CNIL ne cible que les grandes entreprises. C'est faux depuis 2022.

Sanctions effectivement prononcées contre des indépendants du bien-être

  • 2024 : un cabinet de naturopathie de 2 personnes, 15 000 € pour absence de registre, conservation illimitée et fichier client non sécurisé
  • 2023 : un coach sportif et nutritionnel, 3 000 € après plainte d'un ex-client dont les photos avant/après avaient été utilisées en publicité sans consentement
  • 2024 : une plateforme de coaching en ligne, 30 000 € pour transfert non encadré de données vers les États-Unis

Le plafond théorique

Article 83-5 RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le plus élevé des deux. Pour un coach indépendant, la CNIL applique un barème proportionné, mais les amendes restent significatives au regard d'un chiffre d'affaires de 30 000 à 80 000 € par an.

Le risque civil distinct

Indépendamment de la CNIL, un client victime d'une fuite peut réclamer des dommages-intérêts devant le tribunal judiciaire. C'est précisément le scénario où une assurance cyber prend tout son sens : elle couvre l'indemnisation du client, les frais d'expert forensique, la notification réglementaire et la gestion de crise.

🔒
Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.
Obtenir mon devis →

Un plan d'action en quatre week-ends

Week-end 1 : cartographier

Listez tous les endroits où vous stockez des données clients : ordinateur, smartphone, Google Drive, Dropbox, WhatsApp (les conversations avec photos comptent !), boîte mail, logiciel de gestion, cahier papier. Vous serez surpris du nombre de copies.

Week-end 2 : sécuriser

  • Activer le chiffrement du disque (BitLocker / FileVault)
  • Mettre un mot de passe sur tout fichier Excel contenant des données clients
  • Migrer vos données vers un coffre chiffré (Proton Drive, Tresorit, ou logiciel métier hébergé en France)
  • Activer la double authentification sur votre boîte mail et vos comptes cloud

Week-end 3 : documenter

  • Rédiger ou télécharger un registre des traitements (modèle CNIL simplifié)
  • Mettre à jour votre contrat d'accompagnement avec les mentions RGPD
  • Ajouter une politique de confidentialité sur votre site web
  • Préparer un formulaire de consentement spécifique pour les photos avant/après

Week-end 4 : nettoyer

Supprimer tous les anciens dossiers clients dont l'accompagnement a pris fin depuis plus de 5 ans. Effacer les conversations WhatsApp avec données sensibles. Anonymiser les témoignages publiés. Vous repartez sur des bases propres.

Et si le pire arrive : le réflexe des 72 heures

Votre ordinateur portable est volé dans le TGV. Que faire ?

  1. Heure 0 : porter plainte au commissariat. Activer le verrouillage à distance si activé (Find My Mac, Microsoft Find My Device).
  2. Heure 1 : changer immédiatement tous les mots de passe stockés sur la machine, à commencer par votre boîte mail.
  3. Heure 6 : évaluer la criticité. Si le disque était chiffré et le compte fort, le risque réel est faible. Sinon, classer en violation à risque élevé.
  4. Heure 24-48 : notification à la CNIL via le téléservice dédié si la violation présente un risque.
  5. Heure 48-72 : si le risque pour les clients est élevé, les informer individuellement par mail.

L'assurance cyber Insurio mobilise dans les premières heures une cellule de crise (juriste RGPD, expert forensique) et prend en charge ces frais. C'est précisément ce qui distingue une simple RC Pro d'une couverture cyber adaptée.

Pour une vue d'ensemble des risques propres à votre activité, consultez notre page dédiée au coach en nutrition.

Questions fréquentes

Non, sauf cas particulier. L'article 37 RGPD impose un DPO uniquement si votre activité principale consiste en un traitement à grande échelle de données sensibles. Un coach indépendant avec quelques centaines de clients ne remplit pas ce critère. La désignation reste néanmoins une bonne pratique si vous gérez une plateforme avec plusieurs milliers d'inscrits.

Oui, à double titre. D'abord, WhatsApp stocke ses sauvegardes sur des serveurs hors UE (Google ou iCloud selon votre téléphone), ce qui pose un problème de transfert. Ensuite, les photos corporelles et données de santé échangées sont rarement effacées. La solution prudente : utiliser un canal professionnel chiffré (Signal, ou un outil métier dédié) et purger régulièrement les conversations.

Uniquement avec un consentement explicite, écrit, spécifique à cet usage. Ce consentement doit pouvoir être retiré à tout moment, avec retrait effectif des publications dans les meilleurs délais. Un client qui revient sur son accord deux ans plus tard a le droit d'exiger la suppression. Anticipez en signant un formulaire dédié, distinct du contrat d'accompagnement.

Non. La plateforme est généralement « sous-traitant » au sens du RGPD : elle traite les données pour votre compte, mais vous restez « responsable de traitement ». Vous devez signer un contrat de sous-traitance (DPA) avec la plateforme, vous assurer de sa conformité, et tenir votre propre registre. La plateforme couvre ses propres systèmes ; elle ne vous décharge pas de vos obligations.

Pour un indépendant, la mise en conformité matérielle (chiffrement, mots de passe, coffre numérique sécurisé) coûte 0 à 150 € par an. La documentation peut être réalisée seul avec les modèles CNIL ou via un consultant pour 500 à 1 500 € en accompagnement ponctuel. C'est sans commune mesure avec une amende CNIL ou une indemnisation civile à la suite d'une fuite, qui se chiffrent en milliers d'euros minimum.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Coach en nutrition — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus
🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus
Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus
💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Coach en nutrition →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.

À lire aussi

Réglementation

Coach en nutrition : où s'arrête le conseil, où commence l'exercice illégal ?

⏱️ 8 min min Guide

Anamnèse du coach en nutrition : le questionnaire qui transforme un client en bouclier juridique

⏱️ 10 min min