Carnet d'adresses, photos d'intervention, appareils confiés : le RGPD du réparateur en pratique

Beaucoup d'artisans pensent que le RGPD ne concerne que les grandes entreprises ou les sites web qui collectent des données. C'est une erreur de lecture du règlement (UE) 2016/679. Le texte ne fixe aucun seuil de taille. Dès que vous traitez des données à caractère personnel de manière automatisée (smartphone, ordinateur, logiciel de devis), vous êtes responsable de traitement au sens de l'article 4.7.

Concrètement, un réparateur multi-services qui :

• note les coordonnées de ses clients dans son téléphone ;
• utilise une application de devis/facturation (Henrri, Pennylane, Tiime, Indy) ;
• photographie les appareils en panne avant et après intervention ;
• conserve des fiches d'intervention papier ou numérique ;

...traite des données personnelles. Le RGPD lui impose alors un ensemble d'obligations précises.

Avant de parler obligations, identifions précisément ce qui est protégé. Le RGPD vise toute information se rapportant à une personne physique identifiée ou identifiable. Pour un réparateur, cela inclut :

• Les données d'identification : nom, prénom, adresse postale, téléphone, e-mail, photo (notamment si vous prenez votre client en photo avec l'appareil réparé pour un témoignage commercial).
• Les données contractuelles : références d'appareils possédés, historique des pannes, montants facturés, modes de paiement.
• Les données techniques collectées par accident : si vous accédez au compte d'une box internet pour tester la connexion, vous traitez l'identifiant de connexion ; si vous redémarrez un PC, les mots de passe stockés transitent par votre intervention.
• Les images de l'intérieur d'un domicile, prises pour documenter une intervention. Elles peuvent révéler la composition du foyer, le niveau de vie, l'agencement — autant d'informations protégées.

L'analyse de cette cartographie est le point de départ de toute mise en conformité.

1. Le registre des traitements (art. 30). Obligatoire même pour les micro-entreprises dès lors qu'un traitement n'est pas occasionnel. Pour un réparateur, le fichier clients n'est jamais occasionnel. Le registre tient sur une page : nom du traitement, finalité, catégories de données, durée de conservation, mesures de sécurité. La CNIL fournit un modèle simplifié gratuit.

2. L'information du client (art. 13). Au moment où vous collectez ses données (premier appel, dépôt d'appareil, devis), vous devez l'informer : qui collecte, pourquoi, combien de temps, ses droits d'accès et de rectification. Une mention au verso du bon de dépôt suffit, à condition qu'elle existe.

3. La durée de conservation (art. 5.1.e). Vous ne pouvez pas garder les coordonnées d'un client "pour la vie". La durée doit être justifiée par une finalité. Pour la facturation, 10 ans (Code de commerce). Pour la prospection commerciale, 3 ans après le dernier contact. Au-delà, vous devez purger.

4. La sécurité (art. 32). Mesures techniques et organisationnelles "appropriées au risque". Sur smartphone : verrouillage par mot de passe ou biométrie, chiffrement de la mémoire, sauvegarde régulière. Sur ordinateur : antivirus à jour, sauvegarde, comptes utilisateurs distincts.

D'après les chiffres de la CNIL pour 2024, le vol ou la perte de terminal mobile représente 37 % des violations de données déclarées par des entreprises de moins de 10 salariés. Pour un réparateur intervenant à domicile et en clientèle, le smartphone professionnel est le principal vecteur de risque : il contient le carnet d'adresses, l'agenda, les photos d'intervention, parfois l'application de facturation avec coordonnées bancaires des clients.

Si votre smartphone est volé et qu'il n'était pas chiffré ou verrouillé par un code robuste, vous êtes en situation de violation de données au sens de l'article 33 du RGPD. Vous disposez de 72 heures pour la notifier à la CNIL. En cas de risque élevé pour les personnes concernées, vous devez aussi notifier individuellement vos clients (art. 34).

Sanction maximale pour défaut de notification : 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. En pratique, pour un artisan, les sanctions observées vont de 1 500 € à 8 000 € — auxquels s'ajoutent les frais de notification, d'analyse forensique et la perte de réputation.

Vous réparez un ordinateur portable, un disque dur externe, un smartphone, une console de jeu, voire un téléviseur connecté. Ces appareils contiennent des données personnelles du client (photos, contacts, mails, mots de passe enregistrés, parfois données de santé). Tant qu'ils sont dans votre atelier, vous êtes sous-traitant au sens du RGPD pour ces données — même si vous n'y accédez pas volontairement.

L'article 28 du RGPD impose alors un contrat écrit entre vous (sous-traitant) et le client (responsable). Pour un consommateur, cela passe en pratique par une clause spécifique dans vos CGV ou sur le bon de dépôt, précisant :

• que le client reste responsable de ses données ;
• que vous vous engagez à ne pas y accéder hors nécessité technique ;
• que vous mettez en œuvre des mesures de sécurité (atelier fermé, pas d'accès tiers, pas de copie) ;
• que vous notifiez toute violation dans les 24 heures suivant la connaissance.

Sans cette formalisation, un client mécontent peut saisir la CNIL et obtenir une sanction.

Au-delà du RGPD, le réparateur multi-services est exposé à trois scénarios cyber qui frappent particulièrement les artisans :

1. Le phishing au paiement. Un faux fournisseur envoie une facture modifiée avec un nouvel IBAN. Vous payez 1 800 € à un escroc. Préjudice médian observé en 2024 : 4 200 €.
2. Le rançongiciel. Un mail piégé chiffre votre ordinateur et vos sauvegardes locales. Vos fiches d'intervention, votre comptabilité, votre planning : tout est bloqué. Rançon demandée : entre 500 € et 5 000 € en cryptomonnaie. Et payer ne garantit pas la récupération.
3. L'usurpation d'identité commerciale. Un escroc crée un faux compte Facebook ou un faux site à votre nom, encaisse des acomptes, ne livre jamais. Vos vrais clients vous reprochent l'arnaque.

Une RC Pro classique ne couvre pas ces risques. Il faut une garantie cyber spécifique. Pour un réparateur multi-services, une bonne formule couvre :

• Les frais de notification CNIL et clients en cas de violation de données (souvent 5 000 à 15 000 €).
• L'analyse forensique par un prestataire qualifié pour identifier la fuite (compter 3 000 à 8 000 €).
• La reconstitution des données perdues (sauvegardes, restauration).
• Les sanctions administratives CNIL dans la limite des montants assurables (les amendes pour faute lourde restent exclues).
• L'assistance juridique face à un client réclamant des dommages-intérêts pour fuite de ses données.
• La fraude au virement (faux fournisseur, faux IBAN).

Le tarif pour un artisan tourne entre 250 et 600 € par an selon les plafonds choisis. C'est l'ordre de grandeur d'une seule franchise d'assurance auto. Pour découvrir notre offre, consultez la page cyber-assurance Insurio et le détail des garanties adaptées aux réparateurs multi-services.

1. Activez le chiffrement de votre smartphone professionnel (activé par défaut sur iOS et Android récent, à vérifier dans les paramètres de sécurité).
2. Configurez une sauvegarde automatique chiffrée de votre fichier clients vers un cloud professionnel européen (OVH, Infomaniak, Outscale).
3. Rédigez un registre RGPD simplifié sur le modèle CNIL en moins d'une heure. C'est votre premier rempart en cas de contrôle.
4. Ajoutez une mention RGPD au verso de vos bons de dépôt et de vos devis : trois phrases suffisent à respecter l'article 13.
5. Souscrivez une cyber-assurance. Pas pour le confort : c'est désormais le seul moyen d'absorber un incident qui coûte facilement le double de son chiffre d'affaires mensuel.