Guide Renkar

RGPD et prise de rendez-vous : ce que dit vraiment la loi

Depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) encadre strictement le traitement des données personnelles en Europe. La prise de rendez-vous en ligne implique la collecte de noms, emails, numéros de téléphone, parfois de données sensibles (motif médical, situation personnelle) — toutes soumises au RGPD. Pourtant, beaucoup de professionnels français utilisent encore des outils américains comme Calendly ou Acuity qui hébergent ces données aux USA, créant un risque juridique réel et des sanctions CNIL pouvant atteindre 4% du chiffre d'affaires annuel. Ce guide détaille précisément vos obligations en tant que pro français, le piège du Cloud Act, et les critères pour choisir un outil vraiment conforme.

À retenir en 30 secondes

  • En tant que professionnel collectant des données via un outil de prise de RDV, vous êtes le "responsable du traitement" RGPD — donc juridiquement responsable
  • Sanction maximale CNIL : 4% du CA annuel ou 20M€ (le plus élevé). Sanction médiane observée : 10K-150K€
  • Le piège majeur : Cloud Act américain. Calendly/Acuity/Cal.com Cloud sont US, leurs données accessibles par les autorités US sans votre consentement
  • Les Standard Contractual Clauses (SCC) ne suffisent plus depuis l'arrêt Schrems II (2020)
  • Solution simple : choisir un outil hébergé exclusivement en France ou UE par une entreprise européenne (Renkar, Crénolib...)
1

Quelles données sont collectées par un outil de prise de RDV ?

Un outil de prise de RDV collecte au minimum : nom, prénom, adresse email — données personnelles directement identifiantes au sens du RGPD (Art. 4). Très souvent aussi : numéro de téléphone, motif du rendez-vous, réponses à des questions de qualification (budget, type de besoin, source). Pour les pros tech : adresse IP, localisation approximative, cookies de session.

Pour certaines professions, ces données prennent une nature sensible : pour un médecin ou thérapeute, le simple fait qu'un patient ait pris RDV peut révéler une condition médicale. Pour un avocat, le motif de RDV peut révéler une situation juridique sensible. Pour un coach business, les réponses au formulaire peuvent contenir des données stratégiques sur l'entreprise du client. Toutes ces données sont protégées par le RGPD, et certaines (santé, opinions politiques, orientation sexuelle, religion) font partie des "catégories particulières" qui exigent un niveau de protection encore renforcé (Art. 9).

2

Où sont hébergées vos données ? Le critère #1

C'est LA question cruciale. Le RGPD interdit le transfert de données personnelles vers des pays "non adéquats" en termes de protection des données — incluant les États-Unis depuis l'invalidation du Privacy Shield en 2020 (arrêt Schrems II de la CJUE).

Si votre outil de prise de RDV héberge vos données aux USA (comme Calendly, Acuity, Cal.com Cloud, TidyCal, Zcal), vous êtes en infraction par défaut. Les Standard Contractual Clauses (SCC) que ces outils proposent depuis 2021 sont une rustine contractuelle, mais elles ne résolvent pas le problème structurel : les autorités américaines peuvent toujours accéder à ces données via le Cloud Act, indépendamment des SCC.

La solution simple et juridiquement nette : choisir un outil hébergé exclusivement en France (ou en UE, par une entreprise européenne). C'est le cas de Renkar (hébergement Scaleway France), Crénolib, et quelques autres acteurs français/européens.

3

Le Cloud Act : pourquoi les serveurs UE ne suffisent pas

Beaucoup d'utilisateurs croient à tort que "si l'entreprise américaine héberge en Europe, c'est OK pour le RGPD". Faux. Le Cloud Act (Clarifying Lawful Overseas Use of Data Act, voté en 2018) permet aux autorités américaines d'exiger l'accès aux données stockées par toute entreprise américaine, même si les serveurs physiques sont à Paris ou à Francfort. La nationalité de l'entreprise prime sur la localisation des serveurs.

Concrètement : si vous utilisez Calendly avec leur option "hébergement EU", vos données restent juridiquement accessibles par les autorités US sans votre consentement, sans notification, et sans recours possible côté français. C'est pourquoi la CNIL et le CEPD (Comité Européen de la Protection des Données) considèrent que le simple changement de localisation des serveurs ne résout pas le problème — il faut changer de fournisseur.

Pour les professions sensibles (santé, juridique, services aux entreprises grands comptes), c'est rédhibitoire. Pour les autres, c'est un risque juridique latent qui peut se matérialiser en cas de contrôle CNIL ou de plainte d'un client.

4

Vos obligations concrètes en tant que responsable du traitement

Quand vous utilisez un outil de prise de RDV, vous êtes le "responsable du traitement" au sens du RGPD (Art. 4). C'est vous qui décidez quelles données collecter, à quelles fins, et qui choisissez l'outil. L'outil lui-même est votre "sous-traitant" (Art. 28). Conséquences :

1. Information transparente : vous devez avoir une politique de confidentialité claire (généralement liée à votre site web) qui mentionne quelles données sont collectées, par qui, pourquoi, combien de temps, et comment le client peut exercer ses droits.

2. Base légale : la collecte doit avoir une base légale (consentement explicite, exécution d'un contrat, intérêt légitime). Pour un RDV professionnel, l'exécution du contrat ou l'intérêt légitime suffisent généralement.

3. Droits des personnes : vos clients peuvent demander accès, rectification, suppression de leurs données. Vous devez pouvoir répondre dans 1 mois maximum.

4. Choix d'un sous-traitant conforme : c'est VOTRE responsabilité de choisir un outil RGPD-compliant. Si l'outil est non-conforme, c'est VOUS qui êtes sanctionné, pas l'outil. D'où l'importance du DPA (Data Processing Agreement) signé avec votre fournisseur.

5. Notification des violations : en cas de fuite de données, notification CNIL sous 72h (Art. 33).

5

Sanctions CNIL : ce que vous risquez vraiment

Les sanctions du RGPD sont graduées selon la gravité de l'infraction et le chiffre d'affaires de l'entreprise. Sanction maximale : jusqu'à 4% du CA annuel mondial OU 20 millions d'euros (le plus élevé des deux), pour les violations graves (non-respect des principes fondamentaux, transferts illégaux hors UE, non-respect des droits des personnes).

Sanctions observées en pratique : pour les TPE/PME, les sanctions sont généralement entre 1 000€ et 50 000€, accompagnées d'une mise en demeure de se mettre en conformité. Mais pour les grandes entreprises ou les violations massives, les chiffres explosent : Google a été sanctionné de 50 millions d'euros en 2019 par la CNIL française.

Pour un pro français qui utilise un outil non-conforme : peu probable d'être sanctionné spontanément (la CNIL n'audite pas chaque indépendant), mais en cas de plainte d'un client mécontent ou de contrôle ciblé sur votre profession, l'exposition existe. Pour les pros traitant des données sensibles (santé, juridique), c'est un risque opérationnel réel à ne pas sous-estimer.

Au-delà des amendes : risque réputationnel majeur (publicité négative), perte de clients sensibles à la conformité, blocage de contrats grands comptes ou secteur public qui exigent un fournisseur RGPD.

6

Comment choisir un outil RGPD-compliant ? La checklist

Pour vous assurer qu'un outil de prise de RDV est vraiment conforme au RGPD français, vérifiez ces 6 critères :

1. Hébergement : exigez une preuve écrite que les données sont hébergées exclusivement en France ou en UE par un hébergeur européen. Les mentions "hébergement multi-régions" ou "serveurs UE disponibles" ne suffisent pas — il faut du hard-coded.

2. Nationalité de l'éditeur : entreprise française ou européenne (pas une filiale d'une société américaine). Cela exclut le Cloud Act.

3. Chiffrement : données chiffrées au repos (AES-256 minimum) et en transit (TLS 1.3). Standard.

4. DPA disponible : Data Processing Agreement (Accord de Sous-Traitance) signé entre vous et le fournisseur, conforme à l'Art. 28 RGPD. Doit être disponible à la demande, idéalement public.

5. Sous-traitants : la liste des sous-traitants utilisés (par exemple : Stripe pour les paiements, Brevo pour les emails) doit être transparente et tous doivent être RGPD-compliant.

6. Politique de rétention : vos données doivent pouvoir être supprimées sur demande, et l'outil doit appliquer une politique de purge automatique (typiquement 3 ans après la dernière activité).

Renkar coche les 6 cases, par design. Calendly/Acuity/Cal.com cloud cochent au mieux 3 sur 6 (chiffrement, sous-traitants, rétention) mais pas les 3 critiques (hébergement, nationalité, DPA conforme).

Passez à l'action

Checklist concrète

  • Identifier toutes les données collectées par votre outil actuel (audit personnel : ouvrez le formulaire de réservation et listez)
  • Vérifier l'hébergement de votre fournisseur (France ? UE ? USA ?). En cas de doute, demander par email — leur réponse vous engagera
  • Demander le DPA (Data Processing Agreement) à votre fournisseur. S'il refuse ou tarde, c'est un signal d'alerte
  • Vérifier votre politique de confidentialité publique : mentionne-t-elle votre outil de prise de RDV et son hébergement ?
  • Si votre outil est américain : préparer un plan de migration vers un outil européen (Renkar, Crénolib...)
  • Pour les pros sensibles (santé, juridique) : prioriser un fournisseur français hébergé exclusivement en France
  • Configurer une politique de purge des anciennes données (suppression automatique après 3 ans d'inactivité)
  • Documenter votre choix d'outil et sa justification RGPD dans votre registre des activités de traitement

Questions fréquentes

Calendly est une entreprise américaine hébergeant ses données aux USA. Malgré les Standard Contractual Clauses qu'ils proposent depuis 2021, les données restent soumises au Cloud Act américain. La CNIL et le CEPD considèrent que les SCC ne suffisent pas à elles seules pour un transfert vers les USA — il faut des mesures techniques supplémentaires (chiffrement de bout en bout côté client) que Calendly n'implémente pas. En pratique, Calendly n'est pas considéré comme pleinement RGPD.

Oui. En tant que responsable du traitement (Art. 4 RGPD), vous êtes légalement responsable du choix de vos sous-traitants. Utiliser un outil non-conforme vous expose à des sanctions CNIL pouvant aller jusqu'à 4% de votre CA. En pratique, les contrôles de la CNIL sur les TPE sont rares mais possibles — particulièrement si un client porte plainte.

Renkar est une entreprise française, hébergeant toutes les données exclusivement en France chez Scaleway, avec chiffrement AES-256 au repos et TLS 1.3 en transit, DPA disponible (signable en ligne), aucun transfert hors UE, sous-traitants tous européens (Stripe Europe, Brevo France, Mailgun EU), et politique de purge documentée. RGPD natif by design, pas RGPD par configuration ou contournement contractuel.

Procédure type : la CNIL vous notifie le contrôle/la plainte, demande la documentation (politique de confidentialité, DPA avec vos sous-traitants, registre des traitements), évalue votre conformité. Si non-conformité : mise en demeure de régulariser (1-3 mois), puis sanction si pas de régularisation (amende + obligation de régulariser). Pour les pros qui utilisent un outil non-conforme, le "correctif" est généralement de migrer vers un outil conforme.

Oui, fondamentalement. L'arrêt Schrems II (CJUE, juillet 2020) a invalidé le Privacy Shield qui permettait les transferts USA→UE. Depuis, les transferts ne sont possibles que sous SCC + mesures supplémentaires (techniques). Pour les outils US comme Calendly, cela signifie que leur conformité repose sur des contournements contractuels fragiles. Toute clarification réglementaire future risque de durcir encore plus la position européenne.

Cas par cas. Si vous êtes un solo avec une activité B2C peu sensible (coaching grand public par exemple), le risque opérationnel est faible — vous pouvez continuer en assumant le risque résiduel. Si vous traitez des données sensibles (santé, juridique, services aux grandes entreprises ou secteur public), changez. Si vous voulez dormir tranquille et avoir une réponse claire en cas de question d'un client ou DPO, changez aussi — la migration prend 30 minutes.

Tous sont européens : Brevo est français (anciennement Sendinblue), Stripe a une entité Stripe Europe basée en Irlande qui héberge les données européennes en UE, Mailgun a une infrastructure EU dédiée (Frankfurt). Tous sont signataires du DPA RGPD et publient leurs propres listes de sous-traitants.

Approfondissez avec nos articles

Voir tous les articles
Comment Personnaliser Votre Page de Réservation en Ligne (Guide Complet 2026)
Guides

Comment Personnaliser Votre Page de Réservation en Ligne (Guide Complet 2026)

23 April 2026 · 10 min
Gestion d'équipe : comment répartir intelligemment les rendez-vous entre vos collaborateurs
Guides

Gestion d'équipe : comment répartir intelligemment les rendez-vous entre vos collaborateurs

22 April 2026 · 7 min
Comment connecter votre agenda en ligne à vos outils métiers grâce aux webhooks
Guides

Comment connecter votre agenda en ligne à vos outils métiers grâce aux webhooks

15 April 2026 · 9 min

Recevez nos guides par email

Conseils RGPD, productivité et bonnes pratiques pour gérer vos rendez-vous.

🔒 100% RGPD · Hébergé en France · Désabonnement en 1 clic

Prêt à automatiser vos rendez-vous ?

Créez votre calendrier de réservation en 2 minutes. Gratuit, sans carte bancaire, hébergé en France.

Créer mon calendrier gratuitement

Prise de rendez-vous par métier

⚖️ Avocats 💻 Freelances 📈 Commerciaux 🎯 Recruteurs 🧭 Coachs 💼 Consultants 🩺 Medecins 🏠 Agents immobiliers 🎓 Formateurs 📸 Photographes 🧘 Therapeutes 🧮 Comptables 📜 Notaires 🧠 Psychologues 🦴 Osteopathes 🦷 Dentistes 🐾 Veterinaires

Comparatifs

Renkar vs Calendly Renkar vs Cal.com Renkar vs Doctolib Renkar vs SimplyBook.me Renkar vs Acuity Scheduling Renkar vs TidyCal Renkar vs Zcal