Se rendre au contenu
← Retour au blog
Conformité légale

RGPD et garage automobile : gérer les données clients en conformité

Votre fichier client contient bien plus de données sensibles que vous ne le pensez. Nom, plaque, photos d'intervention, historique des passages — tout ça est encadré par le RGPD depuis 2018. Petit tour pratique des 4 obligations qui structurent un atelier conforme.

CS
Cédric Soliveau
·28 avril 2026·5 min de lecture· 100 vues

Le RGPD (Règlement Général sur la Protection des Données) s'applique depuis le 25 mai 2018 à toute entreprise européenne qui stocke des données identifiant des personnes physiques. Votre garage est concerné, comme tout commerce de proximité. La majorité des garagistes indépendants ne sait pas exactement où ils en sont — voici la version sans jargon.

1. Les données sensibles d'un garage : ce que vous stockez sans le savoir

Faites l'inventaire de vos systèmes : votre logiciel garage, votre PC compta, votre tableau Excel client de secours, votre messagerie pro. Vous y trouvez :

  • Identité — nom, prénom, adresse postale, téléphone, email du client
  • Données véhicule — plaque (donnée à caractère personnel CNIL), VIN, kilométrage, historique des pannes
  • Données financières — modes de paiement, antécédents d'impayés, IBAN si prélèvement
  • Photos — état du véhicule à l'arrivée et après intervention (peuvent contenir personnes en arrière-plan)
  • Communications — historique des SMS et emails échangés avec le client

Toutes ces données sont des données à caractère personnel au sens du RGPD. Elles sont soumises aux mêmes obligations que celles d'une banque ou d'un médecin (à degré de sensibilité plus faible, certes).

2. Durée de conservation des données clients

Principe RGPD : ne conserver une donnée que le temps strictement nécessaire à sa finalité. Pour un garage :

  • Données comptables (factures, paiements) : 10 ans (durée fiscale)
  • Données contractuelles (réparation, devis accepté) : 5 ans
  • Données prospect (contact sans achat) : 3 ans après dernier contact
  • Données marketing (consentement SMS/email) : tant que consentement valide, retiré sur demande

Au-delà de ces durées, vous devez soit supprimer, soit anonymiser les données (par exemple remplacer le nom par "Client_X12345"). Garder à vie tout votre fichier "au cas où" est non conforme.

3. Droit à l'oubli : comment gérer une demande de suppression

Tout client peut vous demander la suppression de ses données. Vous avez 30 jours pour répondre (positivement ou en motivant un refus, par exemple si la conservation est obligation légale comme les factures de moins de 10 ans).

En pratique, sur un client qui demande la suppression :

  • Suppression effective de la fiche dans le logiciel (pas un simple "archivé")
  • Conservation séparée des factures comptables (obligation fiscale 10 ans, mais sans nominatif si possible)
  • Suppression des photos d'intervention si elles contiennent l'identification
  • Confirmation écrite au client (email avec récap des actions)

4. Hébergement des données : France ou Europe obligatoire ?

Le RGPD impose que les données personnelles d'européens soient stockées dans un pays offrant un niveau de protection équivalent. En pratique :

  • Hébergement France ou UE : automatiquement conforme
  • Hébergement USA, Royaume-Uni, Suisse, Japon : possible avec clauses contractuelles spécifiques (mais juridiquement plus fragile)
  • Hébergement Chine, Russie : interdit sauf cas exceptionnels et complexes

Vérifiez sur la fiche RGPD de votre éditeur logiciel (que vous pouvez exiger par écrit) où sont localisés vos serveurs. Si la réponse est floue, c'est un signal d'alerte.

5. Consentement pour les SMS et emails marketing

Envoyer un SMS de rappel CT au client qui a fait sa dernière intervention chez vous : autorisé sans consentement explicite (relation contractuelle existante).

Envoyer une offre promotionnelle "tarifs hivers -10 %" à un client qui n'a pas explicitement opté pour les communications marketing : interdit. Il faut le consentement explicite, daté, traçable.

En pratique : ajouter une case à cocher au moment de la création de la fiche client, conserver l'historique des consentements, permettre le retrait en 1 clic depuis le portail.

6. Axium et le RGPD : données hébergées en Europe, export sur demande

Axium est conçu RGPD-compliant by design :

  • Hébergement Hetzner Allemagne (UE), datacenters Falkenstein et Helsinki
  • Stockage photos/PDF Cloudflare R2 zone EU
  • Registre des traitements pré-rempli, à compléter en 5 minutes par client
  • Consentement marketing case à cocher native sur la fiche client + historique
  • Export et suppression en 1 clic, sans frais, dans les 24h

Si vous recevez une demande RGPD client, vous l'exécutez en moins de 2 minutes depuis votre interface — au lieu d'1 heure de tri manuel sur Excel.

CS
Cédric Soliveau
CEO & fondateur Axium · Sens (89) — gérant centre auto depuis 20 ans
Plus d'articles →