RGPD et portage salarial : obligations du consultant
« `html
Introduction : RGPD et portage salarial, une responsabilité partagée
Le portage salarial s’est imposé comme un modèle professionnel incontournable en France, avec plus de 100 000 consultants actifs en 2026. Ce statut hybride, positionné entre l’entrepreneuriat et le salariat, crée une situation unique face aux obligations du Règlement Général sur la Protection des Données (RGPD). Entré en vigueur en mai 2018, le RGPD a profondément transformé la manière dont les données personnelles sont traitées, et le consultant en portage salarial n’y échappe pas.
Contrairement à une idée reçue, le consultant porté n’est pas dispensé des obligations RGPD. Au contraire, il doit respecter une conformité multicouche impliquant la société de portage, ses clients et ses propres données. Cet article décode les obligations légales concrètes que tout professionnel en portage doit connaître pour exercer sereinement et éviter des sanctions pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Responsabilités du consultant porté face aux données client
Le consultant, responsable de traitement ou sous-traitant ?
La qualification juridique est capitale. En portage salarial, le consultant agit souvent en tant que responsable de traitement, notamment quand il définit les finalités du traitement des données clients. Par exemple, un consultant en audit qui collecte les données des employés de l’entreprise cliente pour établir un diagnostic RH devient responsable de ce traitement aux yeux du RGPD.
Cependant, la société de portage agit comme sous-traitant du consultant pour la gestion administrative de ses données (paie, cotisations sociales, retraite). Cette distinction est fondamentale : le responsable de traitement endosse la responsabilité légale, tandis que le sous-traitant doit simplement respecter les instructions du responsable.
Obligations découlant du statut de responsable de traitement
Lorsque le consultant collecte des données dans le cadre de ses missions clients, plusieurs obligations s’imposent immédiatement. La première est la transparence : tout traitement de données doit être justifié par une base légale (consentement, contrat, obligation légale, intérêts légitimes, etc.). Un consultant en marketing digital qui récupère les emails des clients d’une PME doit pouvoir justifier pourquoi il traite ces données et pendant combien de temps.
La documentation constitue le second pilier. Le consultant doit tenir un registre des traitements, détaillant chaque opération sur les données : collecte, stockage, utilisation, suppression. Ce registre, gratuit et dématérialisé, doit rester accessible en cas de contrôle de la CNIL. Des outils numériques certifiés facilitent cette obligation, avec des coûts généralement entre 50 et 200 euros par an pour les petits prestataires.
Obligations découlant du traitement des données du consultant porté
Gestion des données personnelles du consultant auprès de la société de portage
La société de portage traite les données du consultant : identité, adresse, numéro de Sécurité sociale, données bancaires, antécédents professionnels, heures travaillées. Ces traitements sont nécessaires pour les paies mensuelles (SMIC 2026 : 1 747,20 euros bruts pour 35 heures), les cotisations URSSAF (actuellement autour de 42% du salaire brut), et la gestion administrative.
Le consultant doit exiger de sa société de portage un document précisant les traitements effectués : ses données sont-elles conservées 3 ans après la fin du contrat ? Sont-elles partagées avec des tiers ? Le droit à l’oubli s’applique-t-il ? Ces clarifications doivent figurer dans un contrat formalisé, idéalement un avenant RGPD au contrat de portage. La CNIL a rappelé en 2024 que les contrats doivent expressément mentionner les clauses de sous-traitance.
Droits du consultant sur ses propres données
Le consultant porté dispose de droits inaliénables : accès, rectification, suppression, portabilité et opposition. Il peut demander à sa société de portage un accès complet à ses données en moins de 30 jours. Si les données contiennent des erreurs (un montant de prime mal enregistré, une date d’embauche incorrecte), le consultant peut exiger une rectification. Ce droit s’exerce notamment lors de la fin du contrat, où le consultant peut demander l’exportation de ses données dans un format structuré (CSV, XML).
Un cas concret : un consultant en informatique quitte sa société de portage après 3 ans. Il peut demander l’intégralité de ses données personnelles liées à ses missions, ses paies, ses évaluations clients. La société dispose de 30 jours pour fournir ces données dans un format utilisable, sans frais supplémentaires.
Conformité pratique : actions concrètes et points de vigilance
- Clause de confidentialité dans les contrats clients : Avant chaque mission, le consultant doit clarifier avec le client comment les données seront traitées. Une clause simple précisant « les données collectées seront stockées 12 mois minimum et supprimées après » prévient les complications futures.
- Contrat de sous-traitance avec la société de portage : La loi exige que le consultant et sa société formalisent leur relation data. Ce contrat doit couvrir la durée de conservation, les mesures de sécurité, et les droits des personnes dont les données sont traitées.
- Analyse d’impact (DPIA) pour les traitements sensibles : Si le consultant traite des données sensibles (santé, données biométriques, données de mineur), une analyse d’impact est obligatoire. Les consultants RH, santé ou éducation sont particulièrement concernés. Cet exercice prend 3 à 5 heures pour un petit volume de données.
- Sécurité des données : Le consultant doit mettre en place des mesures proportionnées : chiffrement des fichiers sensibles, mots de passe robustes, sauvegarde externalisée. Le coût de ces mesures (logiciel de chiffrement à 100-300 euros/an) est dérisoire comparé aux pénalités potentielles.
- Notification de violation à la CNIL : Si une donnée est compromise (accès non autorisé, vol, corruption), le consultant dispose de 72 heures pour notifier la CNIL si le risque pour les personnes est grave. Même une notification tardive démontre la bonne foi et limite les sanctions.
- Formation continue : La CNIL propose des modules e-learning gratuits. Un consultant consacrant 4 heures par an à sa conformité RGPD réduit drastiquement ses risques.
Les pièges courants du portage salarial en matière de RGPD
Les consultants portés commettent souvent l’erreur d’assimiler leur responsabilité à celle de leur société de portage. Or, même si cette dernière gère les aspects administratifs, le
📚 Articles connexes sur Grokipedia
- Guide complet du portage salarial en 2026 : tout ce que vous devez savoir avec Umalis Group
- Après votre première mission en portage salarial : 5 stratégies pour construire votre carrière avec Umalis
- Guide complet du portage salarial 2026 : tout ce qu’un consultant doit savoir
- Portage salarial : les 5 pièges à éviter absolument (et pourquoi Umalis Group les élimine)
- Le contrat cadre entre société de portage et entreprise cliente
Découvrez Umalis Group, leader français coté Euronext, et rejoignez Bizme.fr pour trouver vos missions.
💰 Simulez votre salaire en portage salarial
Découvrez combien vous pouvez gagner avec Umalis Group — calcul gratuit et immédiat.
🚀 Calculer mes revenus gratuitementSans engagement · Résultat en 30 secondes · Umalis Group depuis 2006
