RGPD et SMS marketing : le guide pour les studios

Le RGPD en 2 minutes : ce que ça change pour votre studio

Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis 2018. Il encadre la collecte, le traitement et la conservation des données personnelles des citoyens européens. Pour un studio de tatouage qui envoie des SMS à ses clients, le RGPD n'est pas optionnel — c'est une obligation légale assortie de sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel.

Pas de panique : la conformité RGPD pour un studio de tatouage est relativement simple à mettre en place si vous suivez les bonnes pratiques. Cet article vous donne tout ce dont vous avez besoin.

Les 6 principes fondamentaux du RGPD appliqués aux SMS

1. Le consentement explicite

Vous ne pouvez envoyer des SMS à un client que s'il a explicitement consenti à les recevoir. Ce consentement doit être :

• Libre — le client ne doit pas être contraint (ne conditionnez pas la prise de rendez-vous à l'acceptation des SMS)
• Spécifique — le consentement doit porter précisément sur l'envoi de SMS (pas un consentement global noyé dans des CGU)
• Éclairé — le client doit savoir ce qu'il accepte (type de messages, fréquence approximative)
• Univoque — une action positive est requise (case à cocher non pré-cochée, signature, etc.)

En pratique, cela signifie qu'au moment de la prise de rendez-vous ou de l'enregistrement du client, vous devez inclure une case à cocher dédiée (non pré-cochée) du type :

"J'accepte de recevoir des SMS de suivi aftercare et des communications de la part de [Studio]. Je peux me désinscrire à tout moment."

2. La finalité limitée

Les données collectées ne peuvent être utilisées que pour la finalité déclarée. Si le client consent à recevoir des SMS aftercare, vous ne pouvez pas utiliser son numéro pour lui envoyer des promotions commerciales non liées — sauf s'il a également consenti à cela.

Bonne pratique : séparez les consentements. Une case pour les SMS aftercare (suivi de cicatrisation), une autre pour les communications marketing (promotions, nouveautés). Le client peut accepter l'un sans l'autre.

3. La minimisation des données

Ne collectez que les données strictement nécessaires. Pour un suivi aftercare par SMS, vous avez besoin :

• Du prénom (pour personnaliser les messages)
• Du numéro de téléphone (pour envoyer les SMS)
• De la date de la séance (pour déclencher la séquence)
• Éventuellement, de la zone tatouée (pour personnaliser les consignes)

Inutile de collecter l'adresse postale, la date de naissance ou toute autre information non nécessaire à l'envoi des SMS.

4. La limitation de conservation

Les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire à la finalité pour laquelle elles ont été collectées.

Pour les SMS aftercare, une durée de conservation raisonnable est :

• Données de contact actives — tant que le client n'a pas demandé sa suppression et que la relation commerciale est active
• Données de clients inactifs — 3 ans après le dernier contact (recommandation CNIL)
• Logs d'envoi SMS — 1 an maximum
• Preuves de consentement — conservées pendant toute la durée du traitement + 5 ans (en cas de contrôle)

5. Le droit d'accès et de rectification

Tout client peut vous demander :

• Quelles données vous détenez sur lui
• De corriger des données erronées
• De supprimer ses données (droit à l'oubli)
• De recevoir ses données dans un format portable

Vous devez être en mesure de répondre à ces demandes dans un délai d'un mois. Avec un outil comme Piqr, ces opérations sont réalisables en quelques clics depuis le tableau de bord.

6. La sécurité des données

Les données personnelles doivent être protégées contre les accès non autorisés, les pertes et les destructions. Cela implique :

• Le chiffrement des données sensibles (numéros de téléphone)
• Des mots de passe robustes pour l'accès à vos outils
• La limitation de l'accès aux seules personnes habilitées
• Des sauvegardes régulières

Le cas spécifique des SMS aftercare

Aftercare vs. marketing : une distinction cruciale

Il existe une nuance juridique importante entre les SMS aftercare et les SMS marketing, comme le précise la CNIL dans son guide sur la prospection par SMS :

• SMS aftercare (consignes de cicatrisation, suivi médical) — peuvent être considérés comme relevant de l'intérêt légitime du professionnel, car ils visent la santé et la sécurité du client. Le consentement reste recommandé mais la base légale peut être l'intérêt légitime.
• SMS marketing (promotions, offres, demandes d'avis) — nécessitent un consentement explicite préalable. Pas d'exception.

En pratique, nous recommandons de toujours recueillir le consentement, y compris pour les SMS aftercare. C'est plus sûr juridiquement et cela renforce la confiance du client.

Le droit de désinscription (opt-out)

Chaque SMS envoyé doit permettre au client de se désinscrire facilement. La méthode la plus courante est d'inclure la mention :

"STOP au [numéro] pour ne plus recevoir de messages"

Cette mention doit figurer au moins dans le premier SMS de la séquence et dans tout SMS à caractère commercial. Lorsqu'un client envoie STOP, son désinscription doit être immédiate et automatique.

Checklist de conformité RGPD pour votre studio

Voici une liste pratique pour vérifier que votre studio est en conformité :

• Consentement — Vous recueillez un consentement explicite (case à cocher) avant d'envoyer des SMS
• Preuve de consentement — Vous conservez une trace horodatée du consentement de chaque client
• Information — Vous informez le client de l'utilisation de ses données (politique de confidentialité accessible)
• Opt-out — Chaque SMS contient ou fait référence à un mécanisme de désinscription
• Registre des traitements — Vous tenez un registre décrivant vos traitements de données
• Durée de conservation — Vous avez défini et respectez des durées de conservation
• Sécurité — Les données sont stockées de manière sécurisée (chiffrement, accès restreint)
• Droits des personnes — Vous avez un processus pour répondre aux demandes d'accès, rectification et suppression
• Sous-traitants — Vos prestataires (outil SMS, hébergeur) sont conformes au RGPD avec un DPA signé

Ce que Piqr fait pour votre conformité

Piqr a été conçu dès le départ avec la conformité RGPD comme priorité. Voici ce que la plateforme gère pour vous :

• Consentement traçable — chaque consentement est horodaté et conservé
• Opt-out automatique — les réponses STOP sont traitées instantanément
• Chiffrement des données — les numéros de téléphone sont chiffrés au repos (AES-256)
• Hébergement en Europe — données stockées sur des serveurs européens
• Export de données — répondez aux demandes de portabilité en un clic
• Suppression — supprimez toutes les données d'un client en un clic
• DPA inclus — un accord de traitement des données est disponible pour chaque client

Les sanctions en cas de non-conformité

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle en France. Elle peut :

• Émettre des avertissements
• Imposer des amendes pouvant atteindre 20 millions d'euros ou 4 % du CA annuel mondial
• Ordonner la cessation du traitement
• Rendre la sanction publique (atteinte à la réputation)

En pratique, les PME et les studios indépendants reçoivent généralement un avertissement avant toute sanction financière. Mais avec la multiplication des plaintes et la sensibilisation croissante du public, mieux vaut être en règle dès le départ.

Conclusion : la conformité, un argument commercial

Au-delà de l'obligation légale, la conformité RGPD est un argument de confiance. Un client qui sait que ses données sont protégées et qu'il peut se désinscrire facilement est un client qui consent plus volontiers à recevoir vos SMS — et qui vous fait davantage confiance.

La conformité n'est pas un frein à votre marketing. C'est un socle de confiance sur lequel construire une relation client durable et respectueuse.