RGPD pour prestataires avec réservation en ligne : le guide pratique

Remarque importante d'emblée : Cet article est une orientation générale soigneusement documentée — pas un conseil juridique. La législation et la jurisprudence évoluent, et chaque cas particulier est différent. En cas de doute, demande l'avis d'un·e avocat·e pour ton activité concrète.

Dès que tu prends des rendez-vous en ligne, tu traites des données à caractère personnel — nom, numéro de téléphone, e-mail, parfois des données de santé. Tu tombes ainsi sous le Règlement général sur la protection des données (RGPD). Cela sent la bureaucratie et la peur des mises en demeure, mais en pratique c'est gérable dès que tu connais quelques règles de base.

Ce guide explique sans jargon juridique quelles données tu as le droit de collecter, sur quelle base légale, quand tu as besoin d'un contrat avec ton outil de réservation et comment gérer conservation, suppression et demandes d'accès. Objectif : une exploitation de réservation propre et à l'abri des mises en demeure, sans panique.

Quelles données clients tu traites

Lors d'une réservation en ligne, ces données apparaissent typiquement :

Catégorie de données	Exemples	Sensibilité
Données de base	nom, e-mail, numéro de téléphone	normale
Données de rendez-vous	prestation réservée, date, heure	normale
Données de paiement	acompte, statut de paiement	accrue
Données de santé	antécédents, allergies (professions de santé, esthétique)	particulièrement sensibles (Art. 9 RGPD)

Le principe le plus important s'appelle minimisation des données : ne collecte que ce dont tu as réellement besoin pour le rendez-vous. Un·e coiffeur·euse n'a pas besoin de date de naissance, un cabinet de kiné en revanche éventuellement de données de santé. Pour les données particulièrement sensibles (Art. 9), des exigences plus élevées s'appliquent — il te faut ici en règle générale un consentement explicite ou une base légale spéciale.

Un bon test pour chaque champ de ton formulaire de réservation : demande-toi « Ai-je vraiment besoin de cette information pour réaliser le rendez-vous ou contacter le·la client·e ? » Si la réponse est non, supprime le champ ou rends-le optionnel. Date de naissance obligatoire, adresse obligatoire ou champs libres détaillés sans objectif clair sont les péchés de protection des données les plus fréquents dans le formulaire de réservation — et en même temps un tueur de conversion, car chaque champ obligatoire supplémentaire produit des abandons. Protection des données et bonne conversion tirent ici dans le même sens.

La base légale : article 6 RGPD

Chaque traitement de données a besoin d'un motif légal. Pour les prestataires, trois sont pertinents :

• Art. 6 § 1 b — exécution d'un contrat. C'est ton motif principal. Pour réaliser un rendez-vous, tu dois traiter nom et coordonnées. Tu n'as pas besoin d'un consentement séparé — le traitement est nécessaire à l'exécution du contrat de réservation.
• Art. 6 § 1 c — obligation légale. Les données de facturation doivent par exemple être conservées selon le droit fiscal, indépendamment du souhait du·de la client·e.
• Art. 6 § 1 a — consentement. Nécessaire pour tout ce qui va au-delà du déroulé du rendez-vous : newsletter, e-mails marketing, publicité. Ce consentement doit être libre, éclairé et révocable.

Règle empirique : Ce qui est nécessaire au rendez-vous passe par l'exécution du contrat (b) — une information dans la politique de confidentialité suffit. Tout ce qui relève de la publicité a besoin d'un consentement séparé et actif (a).

Le contrat de sous-traitance : le contrat avec ton outil de réservation

Si tu utilises un outil de réservation en ligne, ce fournisseur stocke des données clients pour ton compte. Il est ainsi un sous-traitant au sens de l'Art. 28 RGPD — et tu as besoin avec lui d'un contrat de sous-traitance.

Le contrat de sous-traitance règle notamment :

• que le fournisseur ne traite les données que selon tes instructions,
• quelles mesures de protection techniques et organisationnelles s'appliquent,
• si et quels sous-traitants ultérieurs sont mobilisés,
• ce qui se passe en cas de violation de données,
• que les données sont, à la fin, supprimées ou restituées.

Les fournisseurs sérieux mettent à disposition un contrat de sous-traitance prêt à l'emploi, que tu conclus en quelques clics. Important : sans contrat de sous-traitance, l'usage de l'outil est contraire à la protection des données — c'est l'une des erreurs les plus fréquentes chez les prestataires. Vérifie avant le choix de l'outil si un contrat de sous-traitance est proposé et s'il est proprement rédigé.

Ne pense pas seulement à ton outil de réservation : un contrat de sous-traitance est nécessaire avec chaque prestataire qui traite des données à caractère personnel pour ton compte. Cela concerne typiquement aussi ton service d'envoi d'e-mails (pour confirmations et rappels), un éventuel fournisseur de newsletter et, le cas échéant, ton prestataire de paiement. Fais-toi une fois une courte liste de tous les outils par lesquels passent des données clients — et coche pour chacun si un contrat de sous-traitance existe. Ce petit inventaire t'épargne bien des ennuis en cas de pépin.

Serveurs UE : pourquoi l'emplacement compte

Si des données sont traitées hors de l'UE — par exemple sur des serveurs américains —, cela se complique. Pour de tels transferts vers des pays tiers, il te faut des garanties supplémentaires (p. ex. clauses contractuelles types), et la situation juridique est restée incertaine après divers arrêts de justice.

Le moyen le plus simple d'éviter cette complexité : un fournisseur qui héberge exclusivement sur des serveurs UE. Alors tout le traitement a lieu dans l'espace RGPD, tu n'as pas besoin de garanties pour pays tiers et tu réduis considérablement ton risque. EazyBooking stocke les données clients sur des serveurs UE — c'est, au moment du choix de l'outil, un critère que tu devrais activement vérifier.

Conservation et suppression

Les données ne doivent pas être stockées éternellement. Le principe de limitation de la conservation s'applique : dès que l'objectif disparaît, les données doivent être supprimées — sauf si des obligations légales de conservation s'appliquent.

Type de données	Valeur indicative de conservation
Données de rendez-vous/de base sans autre lien	supprimer rapidement après clôture
Justificatifs de facturation et de comptabilité	délais légaux (plusieurs années, droit fiscal)
Preuves de consentement (marketing)	jusqu'à révocation + durée de preuve raisonnable
Données de santé (professions de santé)	selon l'obligation de documentation déontologique

En pratique, cela signifie : mets en place un concept de suppression simple — quelles données supprimes-tu et quand ? Beaucoup d'outils de réservation peuvent anonymiser ou supprimer automatiquement les données clients inactives après un délai défini. Cela t'enlève le travail manuel.

Attention à un point important : obligation de conservation et droit de conservation ne sont pas la même chose. Les justificatifs de facturation, tu dois les conserver, même si le·la client·e demande une suppression — ici l'obligation légale prime. Les pures données de rendez-vous et de contact, en revanche, tu n'as pas le droit de les garder indéfiniment « au cas où ». Un concept de suppression propre sépare clairement ces deux mondes et te protège des deux erreurs : la suppression trop précoce de justificatifs fiscalement pertinents et la conservation trop longue de données qui ne sont plus nécessaires.

Le droit d'accès (et les autres droits des personnes concernées)

Selon le RGPD, les client·e·s ont plusieurs droits que tu dois satisfaire :

• Accès (Art. 15) : quelles données as-tu stockées sur moi ?
• Rectification (Art. 16) : corriger des données erronées.
• Effacement (Art. 17) : « droit à l'oubli » — dans la mesure où aucune obligation de conservation ne s'y oppose.
• Portabilité des données (Art. 20) : restituer les données dans un format courant.

En pratique, cela signifie : si un·e client·e demande « Quelles données avez-vous sur moi ? », tu dois répondre dans un délai d'un mois. Un bon système de réservation aide, car toutes les données clients se trouvent à un seul endroit et tu peux les exporter ou les supprimer en un clic — au lieu de devoir les rassembler à partir d'e-mails, de bouts de papier et d'agendas.

L'information sur la protection des données (Art. 13 RGPD) est également importante : dès la collecte — donc directement dans le formulaire de réservation —, tu dois informer de façon transparente sur qui tu es, dans quel but tu traites les données, sur quelle base légale, combien de temps tu les stockes et quels droits le·la client·e possède. En pratique, tu remplis cela avec une politique de confidentialité liée, bien visible dans le parcours de réservation. Cette information n'est pas un consentement — tu n'as pas besoin de case à cocher pour cela —, mais elle est obligatoire, et son absence est un motif fréquent de mise en demeure.

Violations de données : le plan d'urgence

S'il devait quand même y avoir une violation de données — par exemple un compte piraté ou une liste de clients envoyée par erreur —, une obligation de notification dans les 72 heures s'applique envers l'autorité de contrôle compétente (Art. 33 RGPD), pour autant qu'un risque existe pour les personnes concernées. En cas de risque élevé, tu dois en plus informer les client·e·s concerné·e·s. Tu n'as pas besoin d'un plan de crise élaboré, mais tu devrais savoir qui est ton autorité de contrôle et que le chrono tourne vite en cas de pépin. Un fournisseur avec des standards de sécurité clairs et une chaîne de notification dans le contrat de sous-traitance t'enlève ici beaucoup de poids.

Consentement pour les e-mails marketing

Un point particulièrement sensible : tu n'as pas le droit d'envoyer comme ça des newsletters ou des e-mails publicitaires aux client·e·s, juste parce qu'ils·elles ont une fois réservé un rendez-vous. Pour cela, il te faut un consentement séparé et actif (Art. 6 § 1 a RGPD, complété par le droit de la concurrence pour la publicité).

Concrètement :

• Le consentement doit être libre — il ne doit pas être une condition de la réservation.
• Il doit être donné activement — une case pré-cochée est illicite.
• Il doit être séparé des CGV de réservation.
• Il doit être révocable à tout moment (lien de désinscription dans chaque e-mail).

Une exception importante existe dans le contexte allemand (§ 7 UWG) : aux client·e·s existant·e·s, tu peux, sous conditions strictes, envoyer de la publicité pour des prestations similaires aux tiennes — mais là aussi avec une mention claire du droit d'opposition. En cas de doute, le consentement propre est la voie sûre.

Une clarification pratique qui prête souvent à confusion : les rappels et confirmations de rendez-vous ne sont pas de la publicité. Un e-mail ou un SMS qui rappelle un rendez-vous à venir sert à l'exécution du contrat et n'a pas besoin de consentement marketing. Ce n'est que lorsque tu enrichis ce message d'offres, d'actions de remise ou de publicité « réserve tout de suite ton prochain rendez-vous » qu'il devient de la publicité — et alors les règles de consentement s'appliquent. Garde donc communication contractuelle et marketing proprement séparés, et tu seras du bon côté.

Règle empirique : Confirmations et rappels de rendez-vous sont de la communication contractuelle et n'ont pas besoin de consentement. Publicité, offres et newsletters ont toujours besoin d'un consentement séparé et actif.

Ta checklist RGPD

1. Politique de confidentialité sur le site et dans le parcours de réservation.
2. Ne collecter que les données nécessaires (minimisation des données).
3. Contrat de sous-traitance conclu avec le fournisseur de réservation.
4. Serveurs UE du fournisseur vérifiés.
5. Concept de suppression défini et automatisé autant que possible.
6. Consentement marketing recueilli séparément et activement.
7. Demandes d'accès et de suppression pouvoir y répondre en moins d'un mois.

Questions fréquentes (FAQ)

Ai-je besoin d'un consentement pour enregistrer un rendez-vous ?

Non. Le traitement des données de rendez-vous et de contact passe par l'exécution du contrat (Art. 6 § 1 b RGPD). Tu dois seulement informer de façon transparente — un consentement séparé n'est nécessaire que pour le marketing.

Qu'est-ce qu'un contrat de sous-traitance et en ai-je vraiment besoin ?

Un contrat de sous-traitance (Art. 28 RGPD) règle comment ton outil de réservation traite les données pour ton compte. Dès qu'un fournisseur externe stocke des données clients pour toi, tu en as besoin — sinon l'usage est contraire à la protection des données. Les fournisseurs sérieux le mettent à disposition.

L'emplacement des serveurs joue-t-il un rôle ?

Oui. Pour des serveurs hors de l'UE, il te faut des garanties supplémentaires pour le transfert de données, et la situation juridique est incertaine. Un fournisseur avec des serveurs UE évite complètement cette complexité.

Combien de temps puis-je conserver les données clients ?

Aussi longtemps que l'objectif existe. Les données de rendez-vous sans autre lien, tu devrais les supprimer rapidement après clôture ; les justificatifs de facturation sont soumis à des délais légaux de conservation de plusieurs années. Un concept de suppression aide à garder la vue d'ensemble.

Puis-je envoyer de la publicité aux client·e·s existant·e·s ?

De façon limitée seulement. Dans le contexte allemand, le § 7 UWG autorise sous conditions strictes la publicité pour des prestations similaires aux tiennes envers les client·e·s existant·e·s — avec une mention claire du droit d'opposition. Pour les newsletters en général, il te faut un consentement séparé et actif. La voie sûre est toujours l'opt-in actif.

Que faire en cas de demande d'accès ?

Tu dois fournir, dans un délai d'un mois, l'information sur les données que tu as stockées. Un système de réservation centralisé facilite énormément cela, car tu peux exporter les données au lieu de les rassembler depuis différentes sources.

Prochaines étapes

• → Rédiger des conditions d'annulation solides
• → Frais de no-show : ce qui est juridiquement autorisé
• → Le guide complet de la réservation de rendez-vous en ligne

La conformité RGPD est réalisable pour les prestataires : ne collecter que les données nécessaires, conclure un contrat de sous-traitance avec le fournisseur, veiller aux serveurs UE, entretenir un concept de suppression et séparer proprement le marketing par opt-in. Un bon outil de réservation règle automatiquement nombre de ces points — et t'enlève l'essentiel du souci.