RGPD pour les fabricants d'enseignes : Ce que vous devez savoir avant que la lettre n'arrive.

Le RGPD semble être un problème de grande entreprise. Ce n'est pas le cas. Le Règlement Général sur la Protection des Données s'applique à toute entreprise qui traite des données personnelles — et vous le faites. Noms des clients, adresses, emails, numéros de téléphone, photos de façades (parfois avec des personnes visibles), données de facturation. Toutes sont des données personnelles.

Ce que le RGPD exige

1. Registre des activités de traitement

Vous devez documenter quelles données vous traitez, pourquoi, combien de temps, et qui y a accès. Un simple tableau suffit : "Données client — Exécution de commande — 10 ans (obligation de conservation) — Propriétaire + Bureau".

2. Accord de traitement des données (DPA)

Avec chaque fournisseur cloud qui traite vos données, vous avez besoin d'un DPA. Votre logiciel de comptabilité, outil email, hébergement de site web, et logiciel sectoriel. PlotonIQ fournit un DPA — demandez à vos autres fournisseurs.

3. Localisation du serveur

C'est là que cela devient critique. Si vous utilisez shopVOX (serveurs US), Trello (serveurs US), ou Google Drive (distribué mondialement), vos données clients se trouvent aux États-Unis. Depuis l'arrêt Schrems II, les transferts de données vers les États-Unis sont légalement problématiques.

Solution la plus sûre : serveurs européens. PlotonIQ fonctionne sur Hetzner à Falkenstein, Allemagne. Certifié ISO 27001. Aucun transfert de données vers des pays tiers.

4. Chiffrement

Les données doivent être chiffrées en transit (TLS) et au repos (AES-256). Les mots de passe doivent être hachés (bcrypt, pas MD5). PlotonIQ : TLS 1.3, AES-256, bcrypt, JWT avec rotation de token de rafraîchissement.

5. Durées de conservation

Vous ne pouvez pas stocker les données indéfiniment. Droit fiscal : 10 ans pour les factures, 6 ans pour la correspondance commerciale. Après cela : supprimer. Photos de site : supprimer après achèvement du projet sauf si le client consent à un stockage plus long.

6. Droits des personnes concernées

Votre client a le droit d'accès, de rectification, d'effacement, et de portabilité des données. Vous devez répondre dans les 30 jours.

Erreurs communes dans les ateliers d'enseignes

WhatsApp pour les affaires : WhatsApp partage les métadonnées avec Meta. Les numéros de téléphone des clients sont transférés vers des serveurs US. Non conforme au RGPD sans API Business et DPA. Alternative : portail client PlotonIQ avec approbation numérique et horodatage.

Photos sur téléphones personnels : Si votre installateur prend des photos de site sur son téléphone privé, les données client se trouvent sur un appareil non géré. Solution : prendre des photos directement dans l'app PlotonIQ — upload chiffré, jamais stocké sur l'appareil.

Pas de documentation de suivi : Google Analytics, Facebook Pixel — chaque outil de suivi nécessite consentement et documentation. PlotonIQ : pas de Google Analytics, pas de pixels de suivi, pas de cookies non essentiels.

Liste de contrôle en 10 points

1. Créer un registre des activités de traitement. 2. Signer des DPA avec tous les fournisseurs cloud. 3. Politique de confidentialité sur le site web. 4. Serveurs EU. 5. Définir les durées de conservation. 6. Vérifier le chiffrement. 7. Contrôles d'accès (qui voit quoi). 8. Photos uniquement dans des apps gérées. 9. Remplacer WhatsApp par des outils professionnels. 10. Évaluation d'impact pour le suivi GPS/géofencing.

Conclusion

Le RGPD n'est pas de la science-fusée. Avec le bon logiciel, la plupart est automatique : chiffrement, localisation des serveurs, durées de conservation, contrôles d'accès. Le plus grand levier : s'éloigner des outils US et de WhatsApp, vers une solution sectorielle européenne où le RGPD n'est pas une fonctionnalité — c'est la norme.