Travailler sur son ordinateur personnel quand on est auto-entrepreneur : risques et bonnes pratiques RGPD

Pas interdit par le RGPD, mais exige des mesures organisationnelles et techniques sérieuses. Chiffrement de disque, compte utilisateur dédié, sauvegardes EU, et politique d'usage écrite couvrent l'essentiel.

Laurent SOUHY's profile

Rédigé par Laurent SOUHY

8 min de lecture
Travailler sur son ordinateur personnel quand on est auto-entrepreneur : risques et bonnes pratiques RGPD

La grande majorité des auto-entrepreneurs et des solopreneurs français travaillent sur leur ordinateur personnel — celui qui sert aussi pour Netflix, la déclaration d'impôts, et les photos de famille. Cette pratique est extrêmement répandue, parfaitement légitime économiquement, et n'est pas interdite par le RGPD. Aucun article du règlement n'exige un poste de travail dédié à l'activité professionnelle. Ce que le RGPD exige, c'est l'application de mesures techniques et organisationnelles appropriées (Art. 32) au regard du risque que présente le traitement.

Pour un auto-entrepreneur opérant en Niveau 2 EUDAI (usage professionnel pour soi-même, sans exposition de système IA à des clients finaux), cinq mesures sérieuses couvrent l'essentiel du risque et rendent la situation défendable en cas de contrôle CNIL. Cet article les détaille, explique pourquoi chacune compte, et propose une politique d'usage écrite que vous pouvez intégrer dans votre AIPD interne en moins d'une heure.

En résumé

  • Le RGPD n'interdit pas l'usage d'un ordinateur personnel à des fins professionnelles. Il exige des mesures Art. 32 appropriées.
  • Les 5 mesures essentielles : chiffrement de disque, compte utilisateur dédié, sauvegardes EU chiffrées, politique d'usage écrite, MFA universel.
  • Le sujet « établissement principal » est juridique, pas matériel : votre activité est rattachée à votre domicile fiscal, peu importe le matériel.
  • Pour un Niveau 3 EUDAI (système IA exposé à vos clients), ne faites jamais tourner la production sur votre poste perso. Bascule serveur EU dédié.
  • L'AIPD interne doit mentionner explicitement le poste de travail et ses mesures de protection.

Le mythe du « il faut un PC pro dédié »

Aucun texte ne l'impose. Ni le RGPD, ni l'AI Act, ni le Code du travail (qui ne s'applique de toute façon pas à l'auto-entrepreneur sans salariés), ni les guides CNIL.

Ce qui est imposé, c'est :

  • RGPD Art. 32 : « mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ». Pas « un poste de travail dédié ».
  • RGPD Art. 5.1.f : « intégrité et confidentialité » des données à caractère personnel.
  • RGPD Art. 25 : « protection des données dès la conception et par défaut ».

Les guides CNIL sur la sécurité des données précisent les attendus : chiffrement, contrôle d'accès, MFA, sauvegardes, gestion des incidents. Tous ces attendus sont parfaitement réalisables sur un poste personnel correctement configuré. Source : cnil.fr/fr/securite-informatique.

L'idée du PC pro dédié vient de la culture entreprise, où la séparation matérielle (poste fourni par l'employeur, MDM, BYOD policy) est une bonne pratique pour des raisons internes RH et sécurité. Pour un auto-entrepreneur seul, c'est un overkill dispendieux qui ne change pas votre conformité.

Les 5 mesures essentielles pour rester conforme

Mesure 1 — Chiffrement complet du disque

C'est le point non-négociable. En cas de vol ou perte de votre laptop, le chiffrement de disque est ce qui rend les données inaccessibles à un tiers et neutralise le risque de violation au sens RGPD Art. 33-34. Sans chiffrement, un vol = violation à notifier à la CNIL sous 72 h, possiblement à chaque personne concernée.

OSOutil natifComment activer
macOSFileVaultPréférences Système > Confidentialité et sécurité > FileVault > Activer
Windows 11 Pro / EnterpriseBitLockerPanneau de configuration > Chiffrement de lecteur BitLocker
Windows 11 HomeDevice Encryption (limité, dépend du TPM)Paramètres > Confidentialité et sécurité > Chiffrement de l'appareil
LinuxLUKS (à l'install)Choisir « chiffrer tout le disque » lors de l'installation

Pour Windows 11 Home, le chiffrement Device Encryption est plus limité que BitLocker — il existe mais n'est pas équivalent en granularité. Si vous tournez sous Windows 11 Home et que vous traitez régulièrement des données clients, prévoir une upgrade vers Pro (~140 € en clé OEM) est un investissement réglementairement sain.

Mesure 2 — Compte utilisateur dédié au travail

Sur le même Mac ou PC, créez un deuxième compte utilisateur dédié à votre activité pro. Vos applications pro (CRM, IDE, mail commercial, fichiers clients) sont installées et configurées dans ce compte. Vos applications perso (Netflix, photos famille, jeux) restent dans votre compte habituel.

Ce compte pro est séparé par le système d'exploitation : ses fichiers sont dans son propre /Users/votre-pro ou C:\Users\votre-pro, son cache navigateur est distinct, ses sessions cookies sont distinctes. Cela répond aux exigences Art. 5.1.c (minimisation) et Art. 32 (contrôle d'accès).

Sur macOS et Windows, le changement de compte se fait en deux clics. Sur Linux, idem.

Bonus : si vous avez des enfants qui utilisent occasionnellement votre laptop, le compte pro reste verrouillé, et aucun fichier client ne traîne sur le bureau partagé.

Mesure 3 — Sauvegardes EU chiffrées

L'Art. 32 liste explicitement les sauvegardes comme attendu de sécurité. Sans backup, une panne disque = perte définitive de données client = violation Art. 5.1.f intégrité.

La règle pratique recommandée par EuTrustedIA : 3-2-1. Trois copies de vos données critiques, sur deux supports différents, dont une copie hors site.

NiveauOutil recommandéCoût
Copie localeTime Machine sur disque externe chiffré (Mac), File History (Windows), Borg / Restic (Linux)~80 € disque externe 1 To
Copie hors site EUInfomaniak Swiss Backup (CH), OVH Cloud Backup (FR), Scaleway Object Storage Glacier (FR)~5-15 €/mois pour 100 Go
Copie redondanteNAS Synology / QNAP local + sync vers cloud EU~250 € NAS 2 baies

Évitez les sauvegardes vers iCloud, Google Drive grand public, Dropbox grand public pour vos fichiers clients — ce sont des sous-traitants US sans DPA solo signé par défaut. Si vous y mettez des données clients, vous êtes en violation Art. 28.

Si vous tenez à utiliser iCloud (par confort macOS), créez un compte iCloud+ professionnel avec Advanced Data Protection activé (chiffrement de bout en bout), et signez le DPA Apple Business (apple.com/legal/business).

Mesure 4 — Politique d'usage écrite (1 page)

L'Art. 24 impose au responsable de traitement de pouvoir démontrer la conformité. Une politique d'usage écrite — même informelle, même solo — est l'artefact qui prouve que vous avez réfléchi à la sécurité de votre poste.

Le template ci-dessous tient en une page. Versionné dans votre repo docs/SECURITE.md ou imprimé dans un classeur, daté et signé par vous-même, il fait office d'ADR (Architecture Decision Record) opposable en cas de contrôle.

# Politique d'usage du poste de travail [Votre nom auto-entrepreneur]
Date : [aaaa-mm-jj]
Révision : tous les 12 mois ou à chaque changement matériel

## Matériel
- Modèle : [MacBook Pro 14" / ThinkPad X1 / etc.]
- N° de série : [pour traçabilité en cas de vol]
- Chiffrement de disque : FileVault / BitLocker / LUKS — activé le [date]

## Comptes
- Compte personnel : [nom-perso] — usage perso uniquement
- Compte professionnel : [nom-pro] — usage professionnel exclusif
- Mot de passe fort + biométrie activée

## Sauvegardes
- Locales : Time Machine vers disque [Modèle] chiffré APFS — quotidien automatique
- Hors site EU : [Infomaniak Swiss Backup / OVH] — quotidien automatique
- Test de restauration : tous les 6 mois — date dernière restauration testée : [date]

## MFA et mots de passe
- Gestionnaire de mots de passe : Bitwarden / 1Password / KeePass
- MFA activé sur : compte OS, Bitwarden, Mistral, GitHub, Stripe, CRM
- Clé physique : YubiKey / Token2 [optionnel mais recommandé]

## Incidents
- Procédure de notification CNIL en cas de vol / perte / fuite : voir [Politique violation 72h]
- Contact d'urgence : [moi-même] / [DPO délégué si désigné]

Mesure 5 — MFA universel + gestionnaire de mots de passe

L'Art. 32.1.b exige « la capacité à garantir la confidentialité, l'intégrité, la disponibilité ». Le MFA universel est le moyen le plus efficace pour neutraliser le risque de compromission de compte (phishing, fuite de mot de passe, password reuse).

Recommandation EuTrustedIA :

  • Gestionnaire de mots de passe : Bitwarden (recommandé, OSS, self-hostable via Vaultwarden, juridiction US mais chiffrement client-side — la clé n'est jamais transmise au serveur), Proton Pass (CH, OSS), KeePassXC (OSS).
  • MFA TOTP : Aegis (Android, OSS), Raivo OTP (iOS, OSS). Évitez Google Authenticator (pas d'export, pas de backup chiffré sérieux).
  • MFA hardware : YubiKey 5 NFC (~50 €) ou Token2 (CH, ~30 €). Le saut qualitatif pour les comptes critiques (mail principal, Bitwarden, CRM, banque pro).

Le piège du « établissement principal »

Beaucoup d'auto-entrepreneurs s'inquiètent : « Si je travaille depuis chez moi, est-ce que ma cuisine devient mon établissement principal au sens RGPD ? »

La réponse est oui, et ce n'est pas un problème. L'établissement principal au sens RGPD Art. 4.16 désigne « l'établissement central du responsable du traitement dans l'Union, à moins que les décisions concernant les finalités et les moyens du traitement […] soient prises dans un autre établissement ». Pour un auto-entrepreneur seul travaillant depuis son domicile, l'établissement principal est votre domicile fiscal. C'est cette information que vous indiquez dans vos mentions légales, dans vos politiques de confidentialité, et dans votre registre Art. 30.

La domiciliation commerciale chez un prestataire (Les Tricolores, SeDomicilier, etc.) ne change pas l'établissement principal au sens RGPD si vos décisions de traitement sont prises de chez vous. Cela change votre adresse postale officielle, pas votre établissement principal de fait.

Quand bascule-t-on en Niveau 3 et donc en infra dédiée ?

Le poste de travail perso reste acceptable tant que :

  • vos données clients sont stockées chez vos sous-traitants (CRM, SaaS, infrastructure cloud), pas en local sur votre laptop
  • votre produit IA tourne sur une infrastructure dédiée EU (Scaleway, OVH, Infomaniak), pas sur votre laptop
  • vos scripts d'automation (workers, agents IA, cron jobs) tournent sur un serveur, pas sur votre laptop

Le basculement obligatoire se fait quand vous opérez en Niveau 3 EUDAI : votre système IA est exposé à vos clients finaux. À ce moment, la production critique passe sur un serveur EU dédié. Votre laptop reste votre poste de développement, mais ne porte plus la charge utile.

C'est notamment ce que recommande le Framework EUDAI v1.2 (§ 2.1) au titre du Pilier 1 Souveraineté radicale : la production critique sur infra EU souveraine (Scaleway, OVH, Infomaniak), peu importe ce qui tourne sur votre poste développeur.

Cas pratique : la trousse complète à 50 €/mois

Pour un auto-entrepreneur IA français qui démarre, voici la trousse complète qui couvre tout Art. 32 sans s'arracher les cheveux.

OutilCoût mensuelFonction
Bitwarden Premium1 €/moisGestionnaire de mots de passe + MFA
Infomaniak Swiss Backup 300 Go5 €/moisSauvegardes hors site EU chiffrées
Infomaniak kSuite Standard7 €/moisMail pro + kDrive + kMeet EU
YubiKey 5 NFC (achat one-shot ~50 €)amortieMFA hardware sur comptes critiques
FileVault / BitLocker0 €Chiffrement de disque natif OS
Politique d'usage écrite0 €Démonstration Art. 24

Total : ~13 €/mois récurrent + ~50 € one-shot. Inférieur au coût d'un repas en restaurant. Couvre l'essentiel des attendus CNIL.

Conclusion

Travailler sur son ordinateur personnel quand on est auto-entrepreneur n'est ni interdit, ni dangereux en soi. Cinq mesures sérieuses — chiffrement de disque, compte dédié, sauvegardes EU, politique écrite, MFA universel — couvrent l'essentiel du risque Art. 32 et rendent la situation défendable. Le seul cas où vous devez basculer sur infrastructure dédiée, c'est le Niveau 3 EUDAI quand votre produit IA est exposé à vos clients finaux.

Notre page de recommandations 12 outils liste Bitwarden, Infomaniak et YubiKey. Pour un audit de votre stack avec analyse Art. 32 + Niveau EUDAI explicite, voir nos plans POSITRONIA-CORE.


Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.

Partager: