RGPD coiffeurs Belgique : APD, allergies et fiches
Steven | TrustYourWebsite · 13 avril 2026 · Dernière mise à jour : avril 2026
Les coiffeurs traitent plus de données personnelles que la plupart des autres petites entreprises. Pas seulement des noms et des numéros de téléphone, mais aussi des données sur les allergies. Ce sont des catégories particulières de données personnelles au sens du RGPD (Règlement (UE) 2016/679).
L'Autorité de protection des données (APD-GBA) n'a pas explicitement désigné les salons de coiffure comme un secteur prioritaire. Mais les règles sont les mêmes pour tous. Quiconque traite des données de santé sans base juridique appropriée risque des sanctions de l'APD-GBA.
Vous voulez savoir où votre salon en est ? Scannez gratuitement votre site web pour vérifier la bannière cookies, la politique de confidentialité et le numéro d'entreprise.
Données d'allergie : catégorie particulière de données personnelles
Lorsque vous demandez à vos clients s'ils ont des allergies, vous traitez des données de santé. C'est le cas pour les colorations capillaires, les traitements chimiques et certains produits de soin. Ces informations sont des catégories particulières de données personnelles au sens de l'article 9 du RGPD.
Ce que cela signifie pour votre salon :
- Vous avez besoin d'un consentement explicite et écrit pour traiter les données d'allergie
- Vous devez décrire comment vous protégez ces données (fiches papier dans un meuble fermé à clé, données numériques chiffrées)
- Vous ne pouvez pas conserver ces données plus longtemps que nécessaire
- Les clients ont le droit de consulter, corriger et faire supprimer leurs données
En pratique. Utilisez un formulaire d'admission avec une case de consentement pour les données de santé. Conservez ce formulaire. Il sert de preuve de consentement en cas de contrôle.
Quelle base juridique choisir ?
Pour les allergies, la base juridique la plus simple est le consentement explicite (article 9, paragraphe 2, point a). Ne confondez pas avec le consentement ordinaire. Le consentement pour les données de santé doit être donné par écrit ou par une action positive claire. Une case précochée ne suffit pas.
Si un test cutané est nécessaire avant une coloration, vous traitez aussi des données de santé. Notez le résultat dans la fiche client et conservez la preuve du consentement.
Fiches clients et profils
Une fiche client avec le nom, les coordonnées, la formule de coloration et l'historique des traitements constitue un dossier personnel. Toutes les règles du RGPD s'appliquent.
- Informez les clients de ce que vous conservez et pourquoi
- Stockez les données en sécurité (pas sur une liste ouverte derrière la réception)
- Définissez des durées de conservation (pour les formules de coloration, une durée pratique est de 2 ans après la dernière visite)
- Supprimez les données si un client le demande
Pour les fiches papier, un meuble fermé à clé suffit dans la plupart des cas. Pour les fiches numériques, utilisez un logiciel avec authentification individuelle. Chaque coiffeur a son propre identifiant. Évitez les comptes partagés.
Systèmes de réservation en ligne
Treatwell, Salonized, Planfy et les outils similaires traitent des données personnelles pour votre compte. Vous êtes le responsable du traitement. Vous êtes donc responsable de la manière dont les données de vos clients sont utilisées.
Ce que vous devez vérifier :
- Accord de sous-traitance. Avez-vous un accord de sous-traitance (DPA) avec le fournisseur du logiciel ? C'est obligatoire en vertu de l'article 28 du RGPD. La loi belge du 30 juillet 2018 transpose le RGPD en droit belge.
- Localisation des données. Les données sont-elles stockées sur des serveurs dans l'UE ? Ou sont-elles transférées aux États-Unis ou dans d'autres pays hors EEE ? Les transferts hors EEE nécessitent une base juridique distincte.
- Sécurité d'accès. Qui peut voir quoi dans le système de réservation ? Les employés n'ont-ils accès qu'à ce dont ils ont besoin ?
L'APD-GBA publie un guide pratique sur les sous-traitants que vous pouvez consulter pour rédiger ou vérifier votre DPA.
Site web de votre salon de coiffure
Si votre site web comporte un formulaire de contact ou de réservation, plusieurs obligations s'appliquent.
- Politique de confidentialité nécessaire. Elle décrit quelles données vous collectez et comment vous les utilisez.
- Bannière cookies nécessaire si vous utilisez des analytics ou des intégrations de réseaux sociaux. Voir notre guide sur les bannières cookies en Belgique.
- Numéro d'entreprise visible dans le pied de page. C'est une obligation légale en Belgique.
Vous utilisez des intégrations Instagram ou Facebook sur votre site ? Elles chargent des cookies et transmettent des données à Meta. Cela nécessite un consentement préalable de l'utilisateur. La bannière cookies doit bloquer ces intégrations tant que le consentement n'est pas donné.
Mineurs et photos avant-après
Beaucoup de salons publient des photos avant-après sur Instagram ou Facebook. Pour les clients adultes, demandez un consentement écrit avant la publication. Pour les mineurs de moins de 13 ans, le consentement doit venir du titulaire de l'autorité parentale. L'APD-GBA fournit des modèles pour le consentement à l'image.
Conservez la preuve du consentement aussi longtemps que la photo reste publiée.
Violations de données : que faire ?
Une fuite peut arriver à un petit salon comme à une grande chaîne. Exemples typiques.
- Un ordinateur portable contenant les fiches clients est volé dans la voiture
- Une employée envoie par erreur un fichier Excel de clients à la mauvaise adresse
- Le logiciel de réservation subit une cyberattaque
Procédure à suivre :
- Constatez la violation et documentez les faits (date, données concernées, nombre de clients)
- Évaluez la gravité et le risque pour les clients
- Signalez la violation à l'APD-GBA dans les 72 heures via le formulaire de notification
- Si le risque pour les clients est élevé, informez aussi les personnes concernées directement
Conservez un registre interne des violations, même celles qui ne nécessitent pas de notification. L'APD-GBA peut le demander en cas de contrôle.
Checklist pratique pour les coiffeurs
| Point | Action requise ? |
|---|---|
| Formulaire d'allergie avec case de consentement | Oui |
| Accord de sous-traitance avec logiciel de réservation | Vérifier |
| Données clients stockées en sécurité | Oui |
| Politique de confidentialité sur le site web | Oui |
| Numéro d'entreprise dans le pied de page du site | Oui |
| Bannière cookies si analytics utilisés | Oui |
| Durées de conservation définies et appliquées | Oui |
| Consentement écrit pour photos avant-après publiées | Oui |
| Procédure de signalement de violation de données | Oui |
Vérifiez votre site web gratuitement
Notre scanner vérifie automatiquement si votre site est conforme. Il teste la bannière cookies, la politique de confidentialité, le numéro d'entreprise et plus encore.
Scannez votre site web gratuitement →
Sources
- APD-GBA, page d'accueil officielle
- APD-GBA, signaler une violation de données
- RGPD, texte consolidé sur EUR-Lex
- Loi belge du 30 juillet 2018 relative à la protection des personnes physiques
Ceci est une analyse technique, pas un avis juridique. Consultez un spécialiste ou l'APD-GBA pour votre situation spécifique.
Vérifiez votre site web maintenant
Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.
Lancer le check gratuitGuides pour votre site web
Exigences bannière cookies Belgique : règles APD 2026
Ce que votre bannière cookies doit contenir sous la loi du 13 juin 2005 et l'APD. Boutons égaux, texte trilingue, sans dark patterns, checklist incluse.
Site construit par IA en Belgique : qui paie devant l'APD ?
Votre prestataire a utilisé Cursor ou Lovable. Si le site enfreint le RGPD ou la loi cookies, l'APD vous sanctionne, pas OpenAI. Ce qui change en 2026.
Bannière cookies Belgique : règles et amendes APD
Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.
Obligations RGPD PME Belgique : checklist 2026
Obligations RGPD pour les PME belges en 2026 : checklist pratique des mentions obligatoires, des amendes de l’APD et un scan gratuit du site.
Audit RGPD site web Belgique : guide PME et APD
Comment auditer votre site web pour la conformité RGPD en Belgique. APD, loi 30 juillet 2018, TCF 2022, politique de confidentialité bilingue bruxelloise.