Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 18 juillet 2026
RGPD

RGPD coiffeur : le guide de conformité 2026

RGPD coiffeur : fichier client, logiciel de RDV, SMS marketing, photos et durées de conservation. Obligations et checklist 2026.

Un salon de coiffure manipule bien plus de données personnelles que ne le pensent la plupart des gérants : un fichier client avec historique des couleurs et des techniques, un logiciel de prise de rendez-vous en ligne hébergé chez un prestataire, des SMS de rappel et des relances promotionnelles, parfois des photos avant/après publiées sur Instagram, et des caméras à l’accueil. Dans les diagnostics que je mène auprès de TPE de proximité, le salon de coiffure coche presque toutes les cases du RGPD — sans jamais avoir formalisé quoi que ce soit. Voici ce qu’il faut mettre en place, concrètement, sans y consacrer un temps que vous n’avez pas.

Pourquoi un salon de coiffure est concerné par le RGPD

Beaucoup de gérants pensent que le RGPD ne vise que les grandes enseignes ou les sites e-commerce. C’est faux : le règlement s’applique à toute structure qui traite des données personnelles de façon non exclusivement domestique, quelle que soit sa taille. Un salon indépendant d’un seul fauteuil est concerné dès qu’il tient une fiche client.

Trois traitements structurent l’activité d’un salon et méritent chacun une attention particulière.

Le fichier client. Nom, téléphone, email, historique des prestations, formules de couleur, allergies éventuelles à une teinture, préférences : ce fichier est le cœur du fonds de commerce. Sa base légale est double. La gestion de la relation et des rendez-vous repose sur l’exécution du contrat de prestation (Art. 6(1)(b) du RGPD) ; la constitution d’un historique pour mieux servir le client et le relancer commercialement relève, elle, de l’intérêt légitime (Art. 6(1)(f)) ou du consentement selon le canal utilisé.

La prise de rendez-vous en ligne. Planity, Kiute, Treatwell, Fresha ou une solution intégrée à votre logiciel de caisse : dès que vous confiez la gestion des créneaux et des coordonnées clients à une plateforme externe, celle-ci devient votre sous-traitant au sens de l’Art. 28 du RGPD.

Le marketing direct. SMS de réengagement, offres d’anniversaire, relances des clients qui ne sont pas revenus depuis six mois : le salon vit aussi de sa base de contacts. Or chaque canal a ses règles, et la prospection non conforme est l’un des points que la CNIL sanctionne le plus régulièrement.

Le fichier client : documenter la base légale et informer

La première erreur, la plus fréquente, c’est de considérer le fichier client comme un actif purement commercial, sans jamais s’interroger sur son statut juridique. Deux réflexes suffisent à sécuriser l’essentiel.

D’abord, distinguer ce qui relève du service et ce qui relève du marketing. Enregistrer le nom, le téléphone et l’historique des prestations d’un client pour honorer ses rendez-vous et adapter ses colorations est nécessaire à l’exécution de la prestation : vous n’avez pas besoin de son consentement pour cela. En revanche, lui envoyer des offres promotionnelles est un traitement distinct, qui suppose soit son consentement, soit un encadrement précis de l’intérêt légitime selon le canal (voir plus bas).

Ensuite, informer le client au moment de la collecte. L’Art. 13 du RGPD impose de dire, en des termes simples, qui collecte les données, pour quoi faire, sur quelle base, combien de temps elles sont conservées et quels droits la personne peut exercer. En pratique, une mention courte affichée à l’accueil et reprise sur la page de prise de rendez-vous suffit :

« Les informations recueillies sont utilisées pour gérer vos rendez-vous et votre historique de prestations. Avec votre accord, elles nous servent aussi à vous adresser nos offres. Elles sont conservées pendant la durée de la relation commerciale puis trois ans après votre dernière visite. Vous disposez d’un droit d’accès, de rectification et d’effacement en vous adressant à l’accueil. »

Attention aux données qui touchent à la santé

Un point est régulièrement sous-estimé dans les salons. Noter qu’une cliente est enceinte pour adapter une coloration, qu’un client a une allergie au paraphénylènediamine (PPD), un cuir chevelu psoriasique ou une chute de cheveux liée à un traitement médical, c’est traiter une donnée qui révèle l’état de santé. Ces informations relèvent de l’Art. 9(1) du RGPD : ce sont des données sensibles dont le traitement est interdit par principe, sauf exception de l’Art. 9(2).

Cela ne signifie pas qu’il faut renoncer à noter une allergie — c’est même une précaution utile et légitime. Cela signifie qu’il faut le faire avec le consentement explicite du client (Art. 9(2)(a)), limiter la note au strict nécessaire (« allergie teinture X »), et ne jamais réutiliser ces informations à des fins commerciales.

Le logiciel de prise de rendez-vous : encadrer le sous-traitant

Confier ses rendez-vous à une plateforme en ligne est aujourd’hui la norme. C’est aussi le poste où le salon perd le plus facilement le contrôle de ses données, parce qu’il ignore ce que le prestataire en fait.

L’Art. 28 du RGPD impose qu’un contrat écrit — souvent appelé DPA (Data Processing Agreement) — encadre la relation avec chaque sous-traitant. Ce document doit notamment préciser que le prestataire n’agit que sur vos instructions, qu’il sécurise les données, qu’il ne les réutilise pas pour son propre compte et qu’il vous aide à répondre aux demandes des clients. La plupart des plateformes sérieuses proposent ce contrat dans leurs conditions ; encore faut-il l’avoir accepté et en conserver une copie.

Trois vérifications concrètes valent la peine avant de signer ou de rester chez un prestataire :

  • Où sont hébergées les données ? Un hébergement dans l’Union européenne évite d’avoir à gérer un mécanisme de transfert hors UE (clauses contractuelles types, etc.). Si la plateforme est américaine, vérifiez qu’elle relève bien d’un cadre de transfert valide.
  • La plateforme réutilise-t-elle vos clients à son profit ? Certaines marketplaces de réservation constituent leur propre base et sollicitent vos clients pour d’autres salons. Ce point doit être clairement encadré : vos clients ne sont pas les leurs.
  • Pouvez-vous récupérer et exporter votre fichier ? La portabilité de vos données est un critère de dépendance à ne pas négliger, au-delà même du RGPD.

C’est exactement le type de vérification qu’un registre des sous-traitants tenu à jour permet de ne pas oublier.

SMS et emails : rappel de rendez-vous ne veut pas dire prospection

C’est la confusion la plus coûteuse. Un salon envoie deux types de messages, qui n’obéissent pas aux mêmes règles.

Le SMS ou l’email de rappel de rendez-vous est lié à l’exécution de la prestation que le client a lui-même sollicitée. Il ne s’agit pas de prospection : vous n’avez pas besoin d’un consentement marketing pour rappeler à un client le créneau qu’il a réservé.

Le message promotionnel (offre du mois, remise d’anniversaire, relance « ça fait longtemps ! ») est de la prospection commerciale. Pour un particulier, l’article L. 34-5 du Code des postes et des communications électroniques impose en principe un consentement préalable (opt-in) pour la prospection par voie électronique. Il existe une exception, dite du « client existant » : vous pouvez adresser des offres par email à une personne qui est déjà cliente, pour des produits ou services analogues, à condition de lui avoir offert la possibilité de s’y opposer au moment de la collecte et dans chaque message. Cette souplesse vaut surtout pour l’email ; pour le SMS marketing, la CNIL retient une lecture plus stricte et recommande de recueillir un consentement.

Trois règles pratiques permettent de rester en règle sans se compliquer la vie :

  • Prévoir une case à cocher distincte et non pré-cochée pour l’inscription aux offres, séparée de la prise de rendez-vous. Un consentement valable est libre, spécifique, éclairé et univoque.
  • Inclure un moyen de désinscription simple dans chaque message (STOP par SMS, lien de désabonnement par email).
  • Ne jamais acheter ou louer un fichier de prospects pour démarcher : la CNIL a déjà lourdement sanctionné cette pratique, y compris pour l’acheteur qui n’a pas vérifié l’origine du consentement.

Pour approfondir les canaux et les sanctions encourues, voir notre guide dédié à la prospection commerciale et au RGPD.

Cartes de fidélité et avis clients

La carte de fidélité, physique ou dématérialisée, est un traitement à part entière : elle relie l’identité du client à son historique d’achats pour lui attribuer des avantages. La base légale est en général le contrat (le programme de fidélité que le client accepte) pour la gestion des points, et le consentement pour l’usage marketing des données de fidélité. L’essentiel est de ne pas transformer un programme de fidélité en prétexte pour un profilage commercial que le client n’a pas anticipé. Nos recommandations détaillées figurent dans le guide carte de fidélité et RGPD.

Les avis clients et les photos publiées sur les réseaux méritent aussi un mot. Publier une photo « avant/après » d’une cliente identifiable suppose son accord : il s’agit de son image, et parfois d’une donnée qui touche à son apparence physique. Un accord écrit, même simple (un message ou un formulaire), vaut mieux qu’un « elle était d’accord sur le moment » impossible à prouver le jour où la personne demande le retrait.

Vidéosurveillance : filmer sans fliquer

Beaucoup de salons installent une caméra à l’accueil ou au niveau de la caisse. C’est possible, mais encadré. Les caméras ne doivent filmer ni le poste de travail des salariés en continu, ni les zones où les clients ont une attente de discrétion. Une signalétique doit informer clients et personnel de la présence du dispositif, de sa finalité et du responsable à contacter. Les images ne se conservent que quelques jours — un mois au maximum en principe — sauf incident justifiant leur extraction. Les règles complètes sont détaillées dans notre guide vidéosurveillance en entreprise.

Durées de conservation : le tableau à retenir

Conserver les données « au cas où », indéfiniment, est l’un des manquements les plus courants et les plus faciles à corriger. Le principe de l’Art. 5(1)(e) est simple : on ne garde une donnée que le temps nécessaire à la finalité pour laquelle elle a été collectée.

Pour un salon de coiffure, les repères usuels sont les suivants :

  • Fiche client active : pendant toute la durée de la relation commerciale.
  • Après le dernier rendez-vous : trois ans en base de prospection pour relancer un client inactif (recommandation CNIL), au-delà desquels la fiche est supprimée ou anonymisée.
  • Pièces comptables et factures : dix ans, au titre des obligations comptables (elles sortent alors de la logique de prospection).
  • Consentement marketing : conservé aussi longtemps que la personne ne s’est pas désinscrite, avec une preuve de son recueil.
  • Images de vidéosurveillance : quelques jours, un mois au plus.

Ces repères s’articulent avec le tableau des durées de conservation par secteur que nous tenons à jour.

Le registre et les droits des clients

Deux obligations closent le dispositif, et aucune ne demande un budget.

Le registre des activités de traitement (Art. 30 du RGPD) est obligatoire, y compris pour une TPE, dès lors que les traitements sont réguliers — ce qui est le cas d’un fichier client. Il ne s’agit pas d’un document administratif complexe : un tableau listant chaque traitement (gestion des rendez-vous, fidélité, prospection, vidéosurveillance, paie), sa finalité, sa base légale, les catégories de données, les destinataires et la durée de conservation suffit. C’est aussi l’outil qui vous permet de répondre vite en cas de contrôle.

Les droits des personnes doivent enfin pouvoir s’exercer facilement. Un client peut demander l’accès à ses données, leur rectification, leur effacement ou s’opposer à la prospection. La demande peut être orale au comptoir ; l’important est d’y répondre dans le délai d’un mois. Notre modèle de réponse à une demande de droit d’accès vous fera gagner du temps le jour où la question se pose.

En cas de piratage du logiciel de caisse ou de vol du fichier client, une violation de données doit par ailleurs être notifiée à la CNIL dans les 72 heures si elle présente un risque pour les personnes.

Ce qu’il faut retenir

  • Un salon de coiffure est pleinement soumis au RGPD dès qu’il tient un fichier client, même avec un seul fauteuil.
  • Séparez le service du marketing : gérer les rendez-vous relève de l’exécution du contrat (Art. 6(1)(b)), envoyer des offres suppose un consentement ou l’exception du client existant.
  • Les allergies, grossesses et pathologies notées dans la fiche sont des données de santé (Art. 9) : consentement explicite et usage strictement limité.
  • Votre logiciel de prise de rendez-vous est un sous-traitant : exigez un contrat Art. 28 et vérifiez hébergement, réutilisation et portabilité.
  • Ne conservez pas les fiches indéfiniment : trois ans après le dernier rendez-vous pour la prospection, dix ans pour la comptabilité.
  • Tenez un registre des traitements et sachez répondre aux demandes de droits en un mois.

FAQ

Un petit salon de coiffure indépendant est-il vraiment concerné par le RGPD ?

Oui. Le RGPD s’applique à toute structure qui traite des données personnelles de manière non purement domestique, sans seuil d’effectif ni de chiffre d’affaires. Un salon d’un seul fauteuil qui tient un fichier client et prend des rendez-vous en ligne doit donc s’y conformer, même si les obligations restent proportionnées à sa taille.

Puis-je envoyer des SMS promotionnels à mes clients ?

Pour un particulier, le SMS marketing suppose en principe un consentement préalable (opt-in), que la CNIL interprète strictement pour ce canal. Le SMS de simple rappel de rendez-vous, lui, n’est pas de la prospection et ne requiert pas ce consentement. Prévoyez une case d’inscription distincte pour les offres et un moyen de désinscription (STOP) dans chaque message.

Ai-je le droit de noter les allergies ou l’état de santé d’un client dans sa fiche ?

Oui, mais avec précaution. Une allergie à une teinture ou une pathologie du cuir chevelu est une donnée de santé au sens de l’Art. 9 du RGPD. Vous pouvez la noter avec le consentement explicite du client, en limitant l’information au strict nécessaire et sans jamais l’utiliser à des fins commerciales.

Combien de temps puis-je conserver le fichier de mes clients ?

Pendant toute la relation commerciale, puis trois ans après le dernier rendez-vous pour d’éventuelles relances, conformément aux recommandations de la CNIL. Les factures et pièces comptables se conservent dix ans au titre des obligations comptables. Au-delà, les fiches doivent être supprimées ou anonymisées.

Mon logiciel de prise de rendez-vous en ligne m’impose-t-il des obligations RGPD ?

Oui. La plateforme qui gère vos créneaux et les coordonnées de vos clients est un sous-traitant au sens de l’Art. 28 du RGPD. Vous devez disposer d’un contrat écrit encadrant ses traitements, vérifier où sont hébergées les données et vous assurer qu’elle ne réutilise pas votre clientèle pour son propre compte.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →