Depuis mai 2018, le Règlement Général sur la Protection des Données s'applique à toute structure qui collecte des données personnelles — y compris les associations culturelles, les SMAC et les studios de répétition indépendants. Pourtant, la grande majorité des gérants de studios ignorent leurs obligations, s'exposant à des sanctions de la CNIL pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.
Ce guide vous donne une vision claire et pratique de ce que vous devez faire — sans jargon juridique inutile.
La réponse est oui si vous :
Si au moins un de ces points vous concerne — et c'est très probablement le cas — vous êtes soumis au RGPD.
| Donnée collectée | Finalité | Base légale | Durée conservation |
|---|---|---|---|
| Nom, prénom, email | Gestion des réservations | Exécution du contrat | Durée relation + 3 ans |
| Numéro de téléphone | Rappels, contact urgence | Intérêt légitime | Durée relation + 1 an |
| Données de paiement | Encaissement acomptes | Exécution du contrat | Stripe (5-7 ans légal) |
| Historique réservations | Suivi client, facturation | Obligation légale | 5 ans (comptable) |
| Adresse IP | Sécurité, analytics | Intérêt légitime | 13 mois maximum |
C'est l'obligation la plus souvent ignorée. Vous devez documenter tous les traitements de données personnelles que vous effectuez : qui collecte quoi, pourquoi, pour combien de temps, et avec quels sous-traitants. Ce registre n'a pas besoin d'être complexe — un tableur suffit. La CNIL met à disposition un modèle gratuit sur cnil.fr.
Dès que vous collectez des données, vous devez informer les personnes concernées : qui collecte, pourquoi, pendant combien de temps, avec quels tiers, et quels sont leurs droits. Cette information doit être accessible (lien en pied de page du site, mention dans les formulaires de réservation).
Vous n'avez pas besoin d'être un expert en cybersécurité, mais vous devez prendre des mesures raisonnables : mots de passe forts et uniques pour les accès admin, connexion HTTPS sur votre site, pas de données clients dans des emails non chiffrés, accès restreint au dashboard (uniquement les personnes qui en ont besoin).
Tout service externe qui traite des données pour votre compte est un sous-traitant RGPD. Vous devez vous assurer qu'ils offrent des garanties suffisantes. Pour les studios utilisant StudioBooking, les sous-traitants principaux sont :
Vos clients ont le droit de demander : l'accès à leurs données, la rectification d'informations inexactes, la suppression de leurs données (droit à l'oubli), la portabilité (recevoir leurs données dans un format standard). Vous devez répondre à ces demandes dans un délai d'un mois.
⚠️ Point critique : L'email marketing (newsletter, promotions) nécessite un consentement explicite préalable. Vous ne pouvez pas envoyer des emails promotionnels à vos clients de réservation sans leur accord exprès. Le consentement doit être granulaire, libre, éclairé et traçable.
| Action | Priorité | Statut |
|---|---|---|
| Registre des activités de traitement tenu | 🔴 Obligatoire | ☐ |
| Politique de confidentialité publiée sur le site | 🔴 Obligatoire | ☐ |
| Mention d'information dans les formulaires de réservation | 🔴 Obligatoire | ☐ |
| Contrats de sous-traitance avec Stripe, hébergeur, etc. | 🟡 Important | ☐ |
| Durée de conservation définie par type de données | 🟡 Important | ☐ |
| Procédure de réponse aux demandes d'accès/suppression | 🟡 Important | ☐ |
| Consentement email marketing recueilli séparément | 🟡 Important | ☐ |
| Connexion HTTPS sur le site de réservation | 🔴 Obligatoire | ☐ |
| Cookies tracking : bandeau de consentement CNIL | 🟡 Si cookies tiers | ☐ |
Le modèle gratuit disponible via notre calculateur ROI inclut cette checklist complète au format tableur, prête à remplir.
Politique de confidentialité intégrée, sous-traitants documentés, données hébergées en Europe. Votre conformité commence ici.
🚀 Essai gratuit 14 jours