Article
24 mars 20267 min de lecture
Écran de DMS garage affichant des données clients protégées par le RGPD

Mardi matin, un email arrive dans la boîte de Sophie : « Je souhaite la suppression de toutes mes données personnelles. Conformément à l'article 17 du RGPD. Merci de confirmer sous 30 jours. »

Sophie gère un garage à Angers. Le client en question a un historique de 6 ans dans son DMS, des factures dans sa comptabilité, un numéro dans ses rappels SMS, et une fiche dans le carnet d'adresses de son téléphone pro. Supprimer « toutes ses données » — elle ne sait pas par où commencer. Ni même si elle doit vraiment tout supprimer.

Le RGPD s'applique à votre garage dès que vous stockez un nom, un numéro de téléphone ou une immatriculation. En 2026, la CNIL prévoit 1 200 contrôles dont une partie ciblée sur les TPE/PME artisanales. L'amende théorique va jusqu'à 20 millions d'euros — en pratique, pour un garage, c'est une mise en demeure puis quelques milliers d'euros. Mais le stress et la perte de temps sont réels.

Ce que le RGPD vous oblige à faire concrètement

1. Tenir un registre de traitement.

Un document (Excel suffit) qui liste :

  • Quelles données vous collectez (nom, téléphone, email, immatriculation, historique interventions)
  • Pourquoi (exécution du contrat de réparation, rappels d'entretien, facturation)
  • Combien de temps vous les gardez (3 ans pour les données marketing, 10 ans pour les factures — obligation comptable)
  • Qui y a accès (vous, votre réceptionniste, votre comptable)
  • Quelles mesures de sécurité protègent ces données (mot de passe DMS, accès restreint)

Temps de rédaction : 2 heures la première fois. Mise à jour : 15 minutes par an. La CNIL fournit un modèle gratuit sur cnil.fr.

2. Obtenir le consentement pour les communications marketing.

Distinction clé :

  • Pas besoin de consentement pour les communications liées à une prestation (« votre véhicule est prêt », « rappel de votre RDV de demain ») — c'est de l'exécution contractuelle.
  • Consentement obligatoire pour les communications commerciales (promotions, offres spéciales, newsletters, SMS de rappel révision proactif).

Comment l'obtenir : une case à cocher (non pré-cochée) sur votre bon de réception ou votre devis. « J'accepte de recevoir des rappels d'entretien et des offres par SMS/email. » Gardez la preuve (bon signé, clic enregistré).

3. Répondre aux demandes de droits.

Tout client peut demander :

  • L'accès à ses données (vous devez fournir une copie sous 1 mois)
  • La rectification (corriger une adresse, un numéro)
  • La suppression (le fameux « droit à l'oubli »)
  • La portabilité (fournir les données dans un format lisible)

Attention : la suppression a des limites. Vous ne pouvez pas supprimer les factures (obligation comptable de 10 ans) ni les données nécessaires à la garantie légale (2 ans). Vous devez supprimer les données marketing et l'historique non contractuel.

La réponse type à Sophie : « Nous avons supprimé vos données de notre fichier marketing et de nos rappels. Vos factures sont conservées conformément à l'obligation légale (article L123-22 du Code de commerce). Elles seront détruites après le délai de conservation de 10 ans. »

4. Sécuriser les données.

Le minimum pour un garage :

  • Mot de passe sur le DMS et le poste de réception (pas « 1234 » ni le nom du garage)
  • Verrouillage automatique de l'écran après 5 minutes d'inactivité
  • Sauvegarde régulière (hebdomadaire minimum) sur support externe ou cloud
  • Accès limité : le mécanicien n'a pas besoin de voir les données clients

Le post-it avec le mot de passe collé sur l'écran est le cas le plus fréquent constaté par la CNIL lors des contrôles en TPE. C'est un motif de sanction immédiat.

Les erreurs fréquentes en garage

Garder les données indéfiniment. Un fichier client qui remonte à 15 ans avec des numéros obsolètes et des clients décédés — c'est non conforme. Règle : purgez les données marketing des clients inactifs depuis plus de 3 ans (recommandation CNIL).

Partager le fichier client sans précaution. Envoyer le fichier Excel des clients par email à un prestataire (imprimeur de cartes postales, plateforme SMS) sans vérifier qu'il est lui-même conforme RGPD — c'est votre responsabilité. Vérifiez que votre prestataire a un DPA (Data Processing Agreement) en place.

Ne pas informer le client. Depuis le RGPD, vous devez informer le client de la collecte de ses données au moment de la collecte. Un simple encadré sur votre bon de réception suffit : « Vos données sont traitées pour la gestion de votre véhicule et les rappels d'entretien. Plus d'infos : [votre email]. »

Confondre le DMS et la sauvegarde. Si votre DMS plante et que vous n'avez pas de sauvegarde, vous perdez toutes les données clients d'un coup. C'est une violation RGPD (défaut de sécurité) ET une catastrophe commerciale.

Plan d'action RGPD en 4 étapes

Étape 1 (1h) : Téléchargez le modèle de registre de traitement CNIL. Remplissez-le avec vos traitements réels (DMS, fichier Excel, téléphone pro, logiciel de facturation).

Étape 2 (30 min) : Ajoutez une mention RGPD sur vos bons de réception et devis. Ajoutez une case de consentement pour les communications marketing.

Étape 3 (1h) : Sécurisez vos accès. Changez les mots de passe par défaut, activez le verrouillage automatique, supprimez les post-it. Vérifiez votre dernière sauvegarde.

Étape 4 (2h) : Purgez votre fichier. Supprimez ou anonymisez les clients inactifs depuis plus de 3 ans. Mettez à jour les coordonnées obsolètes.

Total : une demi-journée. Ensuite, 15 minutes par trimestre pour maintenir le registre à jour et répondre aux éventuelles demandes.

RGPD et relation client : un atout, pas un frein

Le RGPD bien appliqué renforce la confiance. Un client qui reçoit un rappel d'entretien par SMS après avoir donné son accord explicite perçoit un service. Un client qui reçoit un SMS sans avoir rien demandé perçoit du spam — et peut se plaindre à la CNIL.

De même, un programme de fidélité conforme RGPD (consentement, droit de retrait, données sécurisées) est un argument commercial : « Vos données sont protégées, on ne les partage avec personne, et vous pouvez quitter le programme à tout moment. »

FAQ

Mon logiciel de gestion (DMS) est-il conforme RGPD ? Vérifiez avec votre éditeur. Les DMS récents (GestAuto, Datafirst, INCADEA, Solware) intègrent la purge automatique et le chiffrement. Les anciens logiciels ou les fichiers Excel maison nécessitent un travail manuel de votre part. Demandez à votre éditeur son attestation de conformité RGPD.

La CNIL peut-elle vraiment contrôler mon garage ? Oui. La CNIL a effectué 345 contrôles en 2025, dont 28 % sur des TPE/PME. Le contrôle se fait sur pièces (questionnaire envoyé par courrier) ou sur place (inspecteur sans rendez-vous). Le déclencheur le plus fréquent : une plainte client.

Puis-je refuser de supprimer les données d'un client ? Vous pouvez refuser la suppression des données nécessaires à une obligation légale (factures : 10 ans, garantie : 2 ans). Vous devez supprimer les données marketing et les données non contractuelles. Répondez toujours par écrit, en expliquant ce que vous supprimez et ce que vous conservez (et pourquoi).

Le RGPD en garage, c'est une demi-journée de mise en conformité et 15 minutes par trimestre de maintenance. Le vrai risque n'est pas l'amende — c'est la plainte d'un client mécontent qui déclenche un contrôle. Pour une vue d'ensemble de toutes les obligations réglementaires 2026, consultez le guide complet.

Essayez gratuitement pendant 14 jours — sans carte bancaire.

Retour à reglementation