Coaching en ligne : poids, photos avant/après, FC max — ces données santé qui vous exposent au RGPD

Le coaching à distance a transformé le métier. Pour 39 euros par mois, un client reçoit un programme personnalisé, partage ses pesées hebdomadaires, ses repas, ses séances filmées, et son suivi de fréquence cardiaque depuis sa montre connectée. Côté coach, ces informations s'accumulent dans un cocktail typique : un Notion ou Airtable avec les fiches clients, un Google Drive de photos avant/après, une boîte mail Gmail avec les exports Garmin Connect, et parfois un canal WhatsApp ou Discord pour la communication quotidienne.

Cet écosystème, qui paraît anodin, présente un caractère juridique précis : ces fichiers contiennent des données concernant la santé au sens de l'article 4 du RGPD, c'est-à-dire des « données à caractère personnel relatives à la santé physique ou mentale d'une personne ». Le poids, l'IMC, la fréquence cardiaque maximale, les antécédents de blessure, les troubles du sommeil ou alimentaires, les photos corporelles : tout cela entre dans cette catégorie.

Or l'article 9 du RGPD pose un principe d'interdiction du traitement de ces données, sauf dans des cas limitativement énumérés. Pour un coach sportif libéral, la seule base légale praticable est le consentement explicite du client (article 9.2.a). Et ce consentement obéit à des règles précises de forme et de fond.

Un simple paragraphe dans les conditions générales ne suffit pas. La CNIL et le Comité européen de la protection des données ont précisé les exigences pour un consentement valable en matière de données de santé. Il doit être :

• Spécifique : il vise précisément les données de santé, pas un consentement global aux CGU.
• Éclairé : le client sait quelles données sont collectées, par qui, pour quelle finalité, combien de temps elles sont conservées, et avec qui elles sont partagées (sous-traitants).
• Univoque : il résulte d'un acte positif clair (case à cocher non pré-remplie, signature, clic explicite). Le silence ou l'inaction ne valent pas consentement.
• Documenté : vous devez pouvoir prouver à la CNIL que vous l'avez obtenu, ce qui implique de conserver une trace horodatée.
• Révocable : le client peut le retirer à tout moment, et vous devez cesser le traitement et lui restituer ou supprimer les données.

En pratique, cela passe par un formulaire dédié au moment de l'inscription, distinct des CGU, qui détaille les rubriques de données et propose un consentement granulaire (par exemple : « j'accepte le partage de mes photos avant/après » séparé de « j'accepte la transmission de mes données cardio depuis Garmin Connect »).

Le coach qui utilise Notion, Trainerize, Trello, Google Workspace ou Dropbox confie ses données à des prestataires qui les hébergent. Ces prestataires sont des sous-traitants au sens du RGPD (article 28). Le coach reste responsable du traitement et doit s'assurer que chaque sous-traitant offre des garanties suffisantes. Concrètement :

1. Signer un contrat de sous-traitance (DPA, Data Processing Agreement) avec chacun. La plupart des outils SaaS proposent leur DPA standard téléchargeable depuis leur back-office.
2. Vérifier la localisation des serveurs. Un hébergement hors Espace économique européen (notamment aux États-Unis) implique un mécanisme de transfert encadré : Clauses Contractuelles Types ou certification au Data Privacy Framework UE/USA depuis l'arrêt Schrems II.
3. Tenir un registre des traitements, même simplifié, mentionnant chaque outil, la finalité, les catégories de données et la durée de conservation.

Pour les coachs employant moins de 250 personnes, le registre est obligatoire dès lors qu'il y a traitement de données de santé, sans seuil minimum. Un coach indépendant qui suit 30 clients en ligne entre donc dans le périmètre.

Voici un cas concret reconstitué à partir d'incidents traités. Un coach sportif gère 65 clients en programme en ligne. Ses photos avant/après sont stockées dans un dossier Google Drive partagé via un lien « toute personne disposant du lien peut voir », par commodité pour les transmissions. Six mois plus tard, le lien est indexé par un moteur de recherche d'images et apparaît dans des résultats de recherche publics. Trois clients alertent le coach. Deux portent plainte à la CNIL.

La CNIL ouvre un contrôle. Elle constate :

• L'absence de registre des traitements.
• L'absence de DPA signé avec Google.
• Un partage de données de santé en accès public, violation manifeste de l'article 32 (sécurité des traitements).
• L'absence de notification dans les 72 heures, alors que la violation aurait dû être déclarée (article 33).

Les conséquences pour un indépendant sont les suivantes : amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, mais la CNIL applique un principe de proportionnalité. Sur les dossiers récents impliquant des professionnels indépendants, les amendes constatées vont de 3 000 à 50 000 euros, plus l'obligation de communication individuelle à chaque client concerné et un préjudice de réputation difficilement chiffrable.

Une assurance cyber pour personal trainer joue à trois niveaux complémentaires :

Gestion d'incident

Dès la découverte d'une fuite ou d'un accès non autorisé, vous activez une cellule de crise qui coordonne :

• L'analyse technique pour identifier la faille (audit forensique).
• La rédaction de la notification CNIL dans le délai de 72 heures.
• La communication aux clients concernés (article 34 RGPD).
• La gestion de la communication de crise si l'incident devient médiatique.

Frais financiers

L'assurance prend en charge les frais juridiques pour répondre à la CNIL, les frais de remédiation technique (refonte du paramétrage, formation, nouveau prestataire), et selon les contrats, une part des indemnités versées aux clients lésés. Les amendes administratives elles-mêmes ne sont jamais assurables (interdiction d'ordre public), mais tout ce qui les entoure peut l'être.

Prévention en amont

Les meilleurs contrats incluent un audit cyber préalable ou des outils d'auto-évaluation. Pour un coach sportif, c'est l'occasion de structurer son registre des traitements, de signer ses DPA, et de mettre en place les bons paramètres de partage. Ces gestes simples réduisent le risque de sinistre de manière disproportionnée par rapport à leur coût.

Une assurance cyber pour un coach indépendant coûte typiquement entre 25 et 70 euros par mois selon le chiffre d'affaires et le nombre de clients suivis en ligne. C'est l'équivalent d'une à deux séances de coaching mensuelles, contre un risque chiffré en dizaines de milliers d'euros.

Voici les actions à mener cette semaine pour mettre votre activité de coaching en ligne en conformité minimale :

1. Auditer tous vos outils SaaS et lister ceux qui hébergent des données clients.
2. Télécharger et signer le DPA de chaque outil (Google, Notion, Trello, Dropbox, etc.).
3. Reparamétrer tous vos partages : aucun lien « public », uniquement des partages nominatifs.
4. Rédiger un formulaire de consentement explicite et le mettre en signature à chaque onboarding client.
5. Créer un fichier Excel ou Notion pour votre registre des traitements (modèle CNIL téléchargeable).
6. Définir une politique de conservation : les données sont effacées 3 ans après la fin du contrat (ou immédiatement sur demande de retrait).
7. Activer la double authentification sur chaque outil contenant des données clients.

Ces sept points, exécutés méthodiquement, mettent un coach en ligne au niveau de conformité de base attendu par la CNIL et démontrent une diligence qui pèsera lourd en cas de contrôle ou d'incident.