EAPORTAGE
    ContactConnexion

    Publié le 02 déc. 2025

    RGPD et Portage salarial : quelles obligations pour le consultant porté ?

    Depuis le 25 mai 2018, date d’entrée en application du Règlement Général sur la Protection des Données (RGPD), toute organisation qui collecte ou exploite des données à caractère personnel de personnes physiques situées dans l’Union européenne doit respecter un cadre légal strict. Le RGPD s’applique aussi bien aux grandes entreprises qu’aux indépendants, micro-entrepreneurs, consultants portés ou sociétés de portage salarial, dès lors qu’ils réalisent un traitement de données (fichiers clients, adresses e-mail, formulaires de contact, statistiques de site web, etc.).

    21 minutes de lecture
    Cover
    Pour le consultant porté, la question n’est pas théorique : la grande majorité des missions implique la collecte, l’utilisation, le stockage ou la transmission d’informations permettant d’identifier directement ou indirectement une personne physique (nom, coordonnées, adresse IP, données RH, etc.). Ne pas intégrer la protection des données et la conformité RGPD dans sa pratique professionnelle, c’est prendre le risque de failles de sécurité, de sanctions de la CNIL et de perte de confiance de ses clients donneurs d’ordres.

    Le RGPD : définition et cadre légal

    Qu’est-ce que le RGPD ?

    Le RGPD est le règlement européen n°2016/679 qui encadre le traitement des données personnelles par les organismes publics et privés, y compris lorsqu’ils externalisent tout ou partie de ces traitements à des prestataires ou sous-traitants. Il s’applique dès lors qu’un responsable de traitement ou un sous-traitant traite des données concernant une personne physique identifiée ou identifiable, ce qui inclut les fichiers clients, les bases de données marketing, les formulaires de contact d’un site web ou encore les comptes rendus de mission contenant des informations nominatives.
    Dans le cadre du portage salarial, cela signifie que la société de portage salarial, le consultant porté et l’entreprise cliente doivent pouvoir justifier, pour chaque traitement, d’une base légale (exécution d’un contrat de prestation ou de travail, obligation légale, intérêt légitime, consentement, etc.) et respecter des principes de licéité, loyauté et transparence. Le RGPD impose également une logique de « responsabilisation » : au lieu de simples déclarations préalables à la CNIL, chaque acteur doit documenter sa mise en conformité (registre, analyses de risques, clauses contractuelles, politiques de sécurité).

    Définition des données personnelles

    Une donnée personnelle est définie par le RGPD comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Pour un salarié porté, cela couvre par exemple : nom, prénom, fonction, numéro de téléphone professionnel, adresse e-mail, adresse IP, identifiant de connexion, mais aussi certaines données de facturation ou de suivi de mission dès lors qu’elles permettent de relier l’information à un individu.
    Dans la pratique, cela inclut :
    • Les bases de données ou fichiers de prospects et de clients (CRM, tableurs, outil d’emailing).
    • Les formulaires collectés via un site web (demande de devis, téléchargement de livre blanc, inscription à une newsletter).
    • Les données confiées par l’entreprise cliente pendant la mission (listes de collaborateurs, données RH, fichiers utilisateurs).
    Certaines catégories, comme les données de santé ou relatives à des infractions, sont considérées comme sensibles et nécessitent des précautions renforcées (base légale spécifique, minimisation stricte, mesures de sécurité avancées).

    Le rôle de la CNIL

    En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité chargée de contrôler l’application du RGPD, d’accompagner les organisations dans leur mise en conformité et de protéger les droits des personnes (accès, rectification, opposition, portabilité, effacement). Elle publie des guides dédiés aux responsables de traitement et aux sous-traitants, dont un guide spécifique pour les prestataires, très utile pour les consultants portés qui agissent en sous-traitance pour les entreprises clientes.
    La CNIL dispose de pouvoirs de contrôle et de sanction importants : visites sur place, demandes de documents (registre des traitements, contrats de sous-traitance, politiques de sécurité), mises en demeure et amendes pouvant atteindre plusieurs millions d’euros pour les manquements les plus graves. Pour les sociétés de portage salarial comme pour les consultants portés, s’appuyer sur les recommandations de la CNIL et intégrer la protection des données dès la conception des offres et des missions (privacy by design) est désormais un enjeu central de fiabilisation de la relation avec les entreprises clientes.

    Qui est concerné par le RGPD en portage salarial ?

    Le statut du salarié porté

    Même s’il bénéficie d’un contrat de travail avec une société de portage, le salarié porté agit au quotidien avec une forte autonomie, proche d’un consultant indépendant, et gère souvent ses propres bases de données clients et prospects pour développer sa prospection commerciale. Dans ce cadre, il réalise de nombreux traitements de données à caractère personnel : collecte d’adresses e-mail, mise à jour de fichiers, relances commerciales, suivi de mission, etc. Le salarié porté est ainsi qualifié de sous-traitant dès lors qu’il traite des données pour le compte d’une entreprise cliente, tout en restant lui-même responsable des données qu’il collecte pour son activité commerciale propre.
    Concrètement, le consultant porté doit donc se poser les mêmes questions qu’une micro-entreprise en matière de protection des données : quelles données sont collectées, sur quelle base légale, pour quelles finalités, avec quelle durée de conservation, quelles mesures de sécurité et de confidentialité sont mises en place ? Il doit aussi tenir compte des droits des personnes (droit d’accès, de rectification, d’opposition, de portabilité, droit à l’oubli) et être en mesure d’y répondre dans des délais raisonnables, même si sa structure est légère.

    La société de portage salarial

    La société de portage salarial est une personne morale qui centralise un volume important de données personnelles : dossiers administratifs des salariés portés, comptes d’activité, coordonnées bancaires, bulletins de salaire, contrats de prestation, données de gestion commerciale avec les entreprises clientes. Elle agit le plus souvent comme responsable de traitement pour les données liées à la gestion du contrat de travail et de la paie, mais peut aussi être co-responsable avec l’entreprise cliente pour certains flux de données liés à la mission.
    En tant que responsable de traitement, la société de portage doit documenter un registre des traitements, désigner un DPO si nécessaire, mettre en place des procédures de sécurisation (sauvegardes, cryptage, VPN, antivirus, pare-feu), choisir un hébergeur et des prestataires conformes au RGPD, et prévoir des clauses contractuelles précises avec le salarié porté et les donneurs d’ordres. Elle engage sa responsabilité en cas de faille de sécurité ou de non-respect des obligations légales, en plus de l’éventuelle responsabilité civile professionnelle.

    L’entreprise cliente

    L’entreprise cliente, qui confie une mission au consultant porté, est généralement responsable de traitement pour les données issues de son propre système d’information (clients finaux, collaborateurs, usagers, etc.). C’est elle qui détermine la finalité et les moyens des traitements, par exemple la gestion commerciale, la prospection, la maintenance d’une base utilisateurs ou la mise en œuvre d’un projet RH. Lorsqu’elle donne accès à ces données au salarié porté, elle doit s’assurer que ce dernier intervient dans un cadre de sous-traitance conforme au RGPD.
    L’entreprise cliente doit donc vérifier que la société de portage et le prestataire porté offrent des garanties suffisantes en matière de sécurité, de confidentialité et de conformité (clauses contractuelles spécifiques, instructions documentées, contrôles, sensibilisation). Elle doit également s’assurer que la durée de conservation, la minimisation des données et la transparence de l’information sont respectées dans l’ensemble de la chaîne de sous-traitance.

    La relation tripartite et ses implications

    La particularité du portage salarial est la relation tripartite entre société de portage, salarié porté et entreprise cliente, organisée autour d’un contrat de travail et d’un contrat de prestation. Cette structure crée une co-responsabilité potentielle : la société de portage porte une partie de la responsabilité juridique et financière, le consultant porté assure l’exécution de la mission en respectant les consignes et les obligations de confidentialité, et l’entreprise cliente reste à l’origine des finalités de traitement.
    Pour sécuriser ce schéma, il est recommandé de :
    • Qualifier clairement les rôles (responsable de traitement, sous-traitant, co-responsables).
    • Intégrer des clauses contractuelles dédiées au RGPD (article 28 du RGPD, clauses contractuelles types).
    • Définir les procédures en cas de violation de données (notification, information des personnes).
    Une relation transparente sur la protection des données, la sécurité des systèmes et les obligations légales renforce la confiance entre les trois parties et protège le patrimoine informel de l’entreprise cliente comme la réputation du salarié porté.