· 9 min

RGPD et tatouage : quelles données conserver et combien de temps

Consentements, photos, pièces d'identité… Vous collectez des données sensibles chaque jour. Voici comment rester en règle avec le RGPD sans y passer des heures.

Bouclier de protection des données dans un studio de tatouage

1. Pourquoi le RGPD vous concerne directement

Dès que vous collectez un nom, un email, un numéro de téléphone ou des photos de vos clients, même sur un carnet papier, le RGPD s'applique à vous.

Et en tant que tatoueur, vous allez plus loin que la plupart des indépendants : le questionnaire de santé vous fait collecter des données médicales (antécédents, allergies, traitements). Ce sont des données sensibles au sens de l'article 9 du RGPD, les plus protégées qui existent.

Idée reçue : "Je suis auto-entrepreneur, ça ne me concerne pas." Si. Le RGPD s'applique à toute personne qui traite des données personnelles, peu importe la taille de l'activité.

Les sanctions existent : la CNIL a déjà sanctionné des indépendants. Mais le risque le plus courant, c'est un client mécontent qui dépose plainte en quelques clics sur cnil.fr, et l'enquête qui suit n'est jamais agréable.

2. Quelles données collectez-vous réellement ?

Faisons le point. En tant que tatoueur, vous collectez probablement tout ça :

  • Identification : nom, prénom, date de naissance, email, téléphone, adresse
  • Pièces d'identité : copies de CNI ou passeport (surtout pour les mineurs)
  • Santé : allergies, traitements, maladies de peau, grossesse, coagulation
  • Photos : zone à tatouer, résultat final, suivi de cicatrisation
  • Finances : montants des devis, acomptes versés, preuves de paiement
  • Consentements : formulaires signés, horodatage, adresse IP
  • Échanges : historique des messages (email, DM Instagram)

En cumulé : un tatoueur qui utilise un formulaire en ligne, un questionnaire de santé, une autorisation parentale et un consentement éclairé collecte entre 15 et 25 types de données par client.

La première étape : lister précisément tout ce que vous collectez. Si vous ne savez pas ce que vous avez, vous ne pouvez pas le protéger.

3. Sur quelle base légale vous appuyer ?

Le RGPD exige une justification pour chaque traitement de données. En tant que tatoueur, trois bases légales couvrent l'essentiel :

  • Le consentement explicite, pour les données de santé et les photos. Le client doit cocher une case dédiée, pas un "j'accepte tout" global
  • L'exécution du contrat, pour ce qui est nécessaire à la prestation : nom, contact, description du projet, facturation
  • L'obligation légale, pour ce que la loi vous impose : questionnaire de santé, pièce d'identité des mineurs, factures

💡 Astuce : séparez les consentements. Une seule case "J'accepte tout" n'est pas conforme. Prévoyez des cases distinctes : données de santé, utilisation des photos, newsletter.

Pour les données de santé en particulier, le RGPD est strict : le consentement doit être explicite, libre, spécifique et éclairé. Le client doit pouvoir refuser sans que vous refusiez la prestation, même si un refus total devrait vous alerter.

4. Combien de temps conserver chaque donnée ?

C'est LA question que tout le monde se pose. Le RGPD interdit de garder les données plus longtemps que nécessaire. Voici les durées recommandées :

DonnéeDuréePourquoi
Consentement éclairé5 ans après la dernière prestationPrescription civile
Questionnaire de santé5 ans après la dernière prestationPrescription civile
Autorisation parentaleMajorité + 5 ansProtection des mineurs
Copies de pièces d'identité1 an après vérificationMinimisation
Devis et factures10 ansCode de commerce
Photos du résultatDurée du consentement (révocable)Consentement
Coordonnées (email, tél)3 ans après le dernier contactIntérêt légitime
Échanges / messages3 ans après le dernier contactIntérêt légitime
Certificat de réalisation5 ansPreuve de prestation

Erreur fréquente : garder les copies de pièces d'identité indéfiniment. Une fois la vérification faite et la prestation réalisée, elles n'ont plus de raison d'être conservées au-delà d'un an.

En pratique, mettez en place un calendrier de purge : chaque mois ou trimestre, supprimez ce qui a dépassé sa durée de conservation.

5. Le registre de traitement : obligatoire mais simple

Tout responsable de traitement doit tenir un registre des activités de traitement (article 30 du RGPD). Le nom fait peur, mais pour un tatoueur indépendant, ça tient sur une page.

Il doit lister :

  • Vos traitements : gestion des clients, questionnaire de santé, facturation, portfolio photos, newsletter
  • Les types de données collectées pour chaque traitement
  • La justification de chaque traitement (consentement, contrat, obligation légale)
  • Les durées de conservation
  • Les mesures de sécurité (mot de passe, chiffrement, accès limité)
  • Les prestataires que vous utilisez (outil de réservation, plateforme email, hébergeur)

Exemple de ligne : Traitement : Questionnaire de santé pré-séance / Données : allergies, traitements, antécédents / Justification : consentement explicite + obligation légale / Durée : 5 ans / Sécurité : stockage chiffré, accès restreint / Prestataire : Noctul (hébergement UE)

La CNIL propose un modèle simplifié gratuit. Remplissez-le une fois et mettez-le à jour quand vous changez d'outil ou de pratique.

6. Les droits de vos clients (et comment y répondre)

Le RGPD donne à vos clients des droits concrets sur leurs données. Vous devez pouvoir y répondre sous 30 jours :

  • Accès : "Qu'est-ce que vous avez sur moi ?" → Fournissez une copie de toutes les données
  • Rectification : "Mon email a changé" → Mettez à jour rapidement
  • Effacement : "Supprimez tout" → Supprimez, SAUF ce que la loi vous oblige à garder (factures, consentements)
  • Portabilité : "Envoyez-moi mes données" → Export dans un format lisible (CSV, PDF)
  • Opposition : "Plus de newsletters" → Désabonnement immédiat
  • Retrait du consentement : "Retirez ma photo de votre portfolio" → Faites-le sans délai

💡 En pratique : la demande la plus courante, c'est de retirer des photos du portfolio ou des réseaux sociaux. Ayez un process clair : dès qu'un client le demande, les photos sont retirées sous 48 h.

Si un client exerce son droit à l'effacement, vous pouvez garder les documents soumis à une obligation légale (factures, consentements sanitaires). Mais tout le reste doit disparaître.

7. Sécuriser les données : les mesures essentielles

Le RGPD exige des mesures de sécurité adaptées. Pour un tatoueur indépendant, voici le strict minimum :

  • Mot de passe fort sur tous vos outils, minimum 12 caractères, différent pour chaque service
  • Double authentification (2FA) activée partout où c'est possible
  • Pas de données sensibles en clair : un questionnaire de santé dans un Google Sheet non protégé, c'est un problème
  • Accès limité : seuls vous et vos collaborateurs autorisés accèdent aux données clients
  • Sauvegarde : une copie de secours en cas de perte ou de panne
  • Dossiers papier sous clé : si vous en avez encore, ils doivent être dans un tiroir fermé

Pièges courants : envoyer des questionnaires de santé par email non chiffré. Stocker des copies de pièces d'identité dans la galerie du téléphone. Partager un Google Drive en accès public. Garder ses mots de passe dans un fichier texte.

L'idéal est d'utiliser un outil pensé pour ces données plutôt que de bricoler avec des outils génériques. Un outil dédié comme Noctul gère le chiffrement, les accès et la purge automatiquement.

8. Les mentions d'information obligatoires

Chaque fois que vous collectez des données, vous devez en informer le client. Concrètement :

  • Qui vous êtes : nom, raison sociale, adresse
  • Pourquoi : "réalisation de la prestation de tatouage"
  • Sur quelle base : consentement, contrat ou obligation légale
  • Qui y accède : vous, votre comptable, un prestataire technique
  • Combien de temps vous conservez les données
  • Les droits du client : accès, rectification, effacement, portabilité
  • Le recours possible auprès de la CNIL

En pratique, ces mentions sont intégrées en bas de votre formulaire de consentement ou dans une page de politique de confidentialité accessible depuis vos documents.

Formulation type : "Les données collectées sont traitées par [Votre Nom] pour la réalisation de la prestation de tatouage. Elles sont conservées pendant 5 ans. Vous pouvez exercer vos droits d'accès, de rectification et de suppression en écrivant à [votre@email.com]. Pour toute réclamation : cnil.fr."

9. Vos sous-traitants et le transfert de données

Si vous utilisez des outils tiers (réservation, email, stockage cloud), ces entreprises sont vos sous-traitants au regard du RGPD. Vous devez :

  • Vérifier qu'ils sont conformes : hébergement en UE ou pays adéquat, DPA (accord de traitement des données) disponible
  • Les inscrire dans votre registre
  • Vérifier les transferts hors UE : un outil qui stocke aux États-Unis doit être couvert par le Data Privacy Framework

💡 Questions à poser à votre prestataire : Où sont hébergées les données ? Avez-vous un DPA ? Êtes-vous certifié ISO 27001 ou SOC 2 ? Que deviennent mes données si je résilie ?

Noctul héberge toutes les données en Union Européenne, fournit un DPA automatique et supprime les données à la résiliation du compte.

10. Que faire en cas de violation de données ?

Si vos données sont piratées, perdues ou fuient accidentellement, vous devez prévenir la CNIL sous 72 heures si ça présente un risque pour vos clients. Si le risque est élevé, prévenez aussi les personnes concernées.

  • Exemples : téléphone volé avec des photos de clients, piratage de votre email, questionnaire de santé envoyé au mauvais client, accès non autorisé à votre outil de gestion
  • Que faire : documenter l'incident, évaluer le risque, notifier la CNIL via leur formulaire en ligne, prévenir les clients si nécessaire
  • Prévention : chiffrement, 2FA, mots de passe forts, accès restreints, les bases vues plus haut

Scénario courant : votre téléphone est volé. Il contient des photos de clients, des échanges Instagram, peut-être des copies de pièces d'identité. Si le téléphone n'est pas verrouillé par un code ou une empreinte, c'est une violation de données à signaler.

11. Votre checklist RGPD en 10 points

Voici les 10 actions à mettre en place pour être en règle :

  • Lister toutes les données personnelles que vous collectez
  • Identifier la justification de chaque traitement
  • Séparer les consentements (santé, photos, newsletter)
  • Rédiger et maintenir un registre de traitement
  • Fixer des durées de conservation et programmer des purges
  • Rédiger vos mentions d'information ou politique de confidentialité
  • Sécuriser vos outils (mots de passe forts + 2FA)
  • Lister vos prestataires et vérifier leur conformité
  • Avoir un process pour répondre aux demandes de vos clients
  • Savoir quoi faire en cas de fuite de données

Avec Noctul, la plupart de ces points sont gérés automatiquement : consentements horodatés et archivés, durées de conservation paramétrables avec purge automatique, données chiffrées et hébergées en UE, espace client sécurisé. Et tout commence dès la réception de la demande : chaque donnée collectée est tracée et conforme.