Décryptage 13 juin 2026 ⏱️ 8 min de lecture

Caisse, fichier clients, SMS de retrait : le pressing face au RGPD

Un pressing de quartier stocke en moyenne 4 200 fiches clients avec téléphone, adresse et historique de dépôts. En cas de vol de données ou de piratage de la caisse, la CNIL peut sanctionner jusqu'à 4 % du chiffre d'affaires. Décryptage.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Tout pressing utilisant un logiciel de caisse avec fiche client est responsable de traitement au sens du RGPD, sans seuil minimum de taille.
Le registre des activités de traitement est obligatoire dès le premier salarié, accessible en moins de 15 minutes en cas de contrôle CNIL.
L'envoi d'un SMS automatique de retrait nécessite une base légale (exécution du contrat) et l'envoi d'un SMS promotionnel exige un consentement préalable explicite.
Une cyber-assurance dédiée couvre la notification CNIL (72h), la communication aux clients et les amendes administratives non assurables des sanctions civiles.

Pourquoi un pressing est concerné par le RGPD (oui, même un petit)

Beaucoup de gérants de pressing pensent que le RGPD ne concerne que les grandes entreprises ou les sites e-commerce. Erreur fréquente : le RGPD s'applique sans seuil minimum à toute entreprise qui traite des données personnelles, dès la première fiche client.

Un pressing classique manipule au moins cinq catégories de données personnelles :

Nom, prénom, téléphone, adresse du client (logiciel de caisse).
Historique des dépôts : types de vêtements, valeur déclarée, fréquence (profilage commercial).
Coordonnées bancaires partielles si paiement par carte ou prélèvement.
Données de connexion WiFi client si vous proposez un accès gratuit.
Vidéosurveillance de la boutique (image = donnée personnelle).

Selon une enquête de la CNIL menée fin 2024, 74 % des commerces de proximité dont les pressings sont en non-conformité partielle ou totale avec le RGPD, principalement par méconnaissance des obligations.

Les 5 obligations RGPD minimales du pressing

Inutile de devenir juriste : la conformité RGPD d'un pressing tient en cinq actions concrètes :

Tenir un registre des activités de traitement (article 30 du RGPD). Obligatoire dès le premier salarié, ce registre liste : la finalité de chaque traitement (caisse, marketing, vidéosurveillance), les données collectées, la durée de conservation, les destinataires. Modèle officiel CNIL disponible gratuitement.
Afficher une information claire à l'entrée et sur le bon de dépôt : finalité, base légale, durée de conservation, droits du client (accès, rectification, effacement). Une mention de 8 lignes au verso du bon suffit.
Sécuriser le poste de caisse : mot de passe individuel par employé, session verrouillée après 5 minutes d'inactivité, sauvegardes chiffrées hebdomadaires hors site.
Limiter la durée de conservation : 3 ans après dernier dépôt pour les données clients actives, 6 mois maximum pour les images de vidéosurveillance.
Tracer les sous-traitants : éditeur du logiciel de caisse, prestataire SMS, hébergeur cloud doivent figurer dans un registre des sous-traitants avec contrat RGPD-compliant.

Un audit complet par un consultant RGPD spécialisé commerce de proximité coûte entre 800 et 1 500 € pour un pressing. C'est rentabilisé dès la première mise en demeure CNIL évitée.

Le piège du SMS de retrait et du SMS promo

Le SMS est devenu l'outil de fidélisation préféré des pressings : 87 % des clients ouvrent un SMS de retrait dans les 5 minutes contre 18 % d'ouverture pour un email. Mais le RGPD et la directive ePrivacy imposent des règles très strictes selon le type de SMS envoyé :

Type de SMS	Base légale	Consentement requis
SMS de retrait du vêtement	Exécution du contrat (article 6.1.b RGPD)	Non, mais information du client requise
SMS de relance après 30 jours d'oubli	Intérêt légitime (article 6.1.f)	Non, mais droit d'opposition affiché
SMS promotionnel (-20%, ouverture, fidélité)	Consentement (article 6.1.a)	Oui, opt-in explicite préalable
SMS d'anniversaire avec remise	Consentement	Oui, opt-in marketing dédié

Le piège classique : utiliser le téléphone collecté pour le SMS de retrait pour envoyer un SMS promo une semaine plus tard. C'est une violation directe du RGPD qui peut être sanctionnée. Solution : ajouter une case à cocher distincte sur le bon de dépôt « J'accepte de recevoir les offres commerciales par SMS » et tenir une liste opt-in séparée du fichier opérationnel.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Que se passe-t-il en cas de piratage de votre caisse ?

Les attaques ransomware ne ciblent plus seulement les grandes entreprises. Selon l'ANSSI, 43 % des cyberattaques 2024 visaient des TPE, et le ticket d'entrée moyen pour un commerce de proximité est désormais de 12 000 €. Pour un pressing piraté, le scénario typique est :

J0 : un employé clique sur une pièce jointe d'un faux email fournisseur. Le ransomware se déploie sur la caisse, chiffre la base clients et les sauvegardes locales.
J+1 : impossible d'identifier les vêtements en attente, perte d'historique pour les retraits du jour. Activité interrompue, file d'attente devant la boutique.
J+3 : demande de rançon en bitcoins (3 à 8 000 €). Selon la jurisprudence ANSSI, ne jamais payer (l'attaquant rejoue souvent).
J+5 : reconstitution manuelle de la base à partir des bons papier, perte estimée de 15 à 25 % du chiffre d'affaires mensuel.
J+7 : obligation de notification CNIL sous 72 heures et information de chaque client concerné par lettre simple ou email.

Le coût total d'un sinistre cyber pour un pressing tourne entre 18 000 et 45 000 € tout compris : pertes d'exploitation, notification, reconstitution, image. Une cyber-assurance dédiée TPE à 25-45 €/mois prend en charge ces frais et fournit une cellule de crise 24/7.

Les sanctions CNIL réellement appliquées aux commerces de proximité

Contrairement à l'idée reçue, la CNIL n'attaque pas que les géants du numérique. Le rapport d'activité 2024 montre que les sanctions contre les TPE/PME ont augmenté de +38 % en deux ans. Les motifs récurrents pour les commerces :

Vidéosurveillance non déclarée ou mal cadrée filmant la voie publique : amendes de 2 000 à 15 000 €.
SMS promotionnels sans consentement : amendes de 5 000 à 30 000 € en cas de plainte d'un consommateur.
Absence de registre des traitements lors d'un contrôle : mise en demeure publique, parfois amende administrative de 3 000 à 10 000 €.
Conservation excessive des données (fichier client de plus de 10 ans non purgé) : amende moyenne de 5 000 €.

La CNIL privilégie d'abord la mise en demeure et l'accompagnement à la conformité. Mais en cas de plainte client documentée et de non-coopération, les sanctions tombent rapidement. Le pressing parisien le plus sanctionné en 2024 a écopé de 22 000 € pour SMS promo sans opt-in et conservation illimitée de fichier client.

Pour aller plus loin sur la protection de votre activité, retrouvez les garanties spécifiques sur la page assurance pressing et blanchisserie ainsi que sur notre offre cyber-assurance TPE.

Questions fréquentes

Mon pressing n'a que 3 employés, suis-je quand même obligé de tenir un registre RGPD ?

Oui. L'article 30.5 du RGPD prévoit une dispense pour les entreprises de moins de 250 salariés mais uniquement si les traitements sont occasionnels ET non sensibles ET n'incluent pas de données personnelles. Or, un pressing traite des données personnelles de manière continue : la dispense ne s'applique donc jamais.

Puis-je envoyer un SMS de promotion à mes anciens clients qui n'ont plus déposé depuis 2 ans ?

Non, sauf s'ils ont donné un consentement explicite et toujours valide pour recevoir des offres commerciales. La base légale 'exécution du contrat' s'éteint avec la fin de la relation commerciale. Pour réactiver d'anciens clients, privilégiez une carte de fidélité physique en boutique ou une campagne d'affichage local.

Suis-je obligé de déclarer ma vidéosurveillance à la CNIL ?

Plus depuis 2018 : la déclaration préalable a été remplacée par une obligation d'information (panneau visible à l'entrée) et la tenue d'un registre interne. En revanche, si vos caméras filment la voie publique ou des parties non destinées à la vidéosurveillance (zone repas employés), une autorisation préfectorale reste obligatoire.

En cas de piratage, ai-je vraiment 72 heures pour notifier la CNIL ?

Oui, l'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Au-delà, vous devez justifier le retard. L'amende pour défaut de notification peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, sanction très théorique mais juridiquement applicable.

Mon logiciel de caisse est un SaaS hébergé chez l'éditeur : suis-je quand même responsable ?

Oui, vous restez 'responsable de traitement' au sens du RGPD. L'éditeur est votre 'sous-traitant' (article 28), et vous devez signer avec lui un contrat de sous-traitance RGPD-compliant qui précise les mesures de sécurité, la localisation des données et les conditions de notification d'incident. La plupart des éditeurs proposent ce contrat en téléchargement libre.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Pressing / blanchisserie — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Pressing / blanchisserie →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.