RGPD écurie : protéger les données des propriétaires de chevaux
Coordonnées, factures, échanges : une écurie qui gère des propriétaires manipule des données personnelles soumises au RGPD. Base légale, minimisation, durée de conservation, droits des personnes, sous-traitants UE, sécurité et registre : ce que ça implique concrètement, sans jargon juridique.
Une écurie qui gère des propriétaires de chevaux manipule des données personnelles : coordonnées, factures, échanges, historique des chevaux. Le RGPD écurie impose alors quelques principes simples : une base légale claire, le minimum de données utiles, une durée de conservation définie, le respect des droits des personnes, des sous-traitants encadrés et une sécurité adaptée. Cet article explique ces obligations sans jargon.
Vos données restent en Europe — equiboard héberge vos données dans l'UE, avec un cloisonnement strict par compte. Essai gratuit 15 jours, sans carte bancaire.
Cet article a une visée pédagogique. Il ne constitue pas un conseil juridique. Pour toute question précise, référez-vous à la CNIL et faites-vous accompagner par un conseil.
Une écurie est-elle concernée par le RGPD ?
Oui, dès qu'elle enregistre la moindre information sur une personne identifiable. Le nom d'un propriétaire, son téléphone, son email, le détail de ses factures : tout cela relève des données personnelles. Le règlement s'applique à tout professionnel établi dans l'Union européenne, sans seuil de chiffre d'affaires ni de taille.
Le RGPD est en vigueur depuis le 25 mai 2018, soit huit ans au moment où nous écrivons (source : CNIL — Comprendre le RGPD). La protection des données cheval et propriétaire n'est donc pas une nouveauté. C'est un cadre stabilisé que les écuries doivent appliquer comme toute entreprise. Un logiciel de suivi des chevaux de course centralise ces données : raison de plus pour en maîtriser le traitement.
Quelles données personnelles une écurie traite-t-elle ?
Principalement les coordonnées des propriétaires, les éléments de facturation et les échanges autour des chevaux. Les données du cheval lui-même ne sont pas personnelles, mais elles deviennent rattachables à une personne dès qu'elles désignent son propriétaire. C'est ce lien qui les fait entrer dans le périmètre du RGPD.
Le règlement définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source : EUR-Lex — RGPD article 4). Le tableau ci-dessous illustre les traitements courants d'une écurie.
| Donnée personnelle | Finalité | Durée indicative |
|---|---|---|
| Coordonnées du propriétaire | Gestion de la relation, contact | Durée de la relation, puis suppression |
| Factures et paiements | Obligation comptable et fiscale | Selon obligation légale (souvent 10 ans) |
| Échanges, messages, notes | Suivi du cheval et de la prestation | Durée de la relation |
| Email d'invitation propriétaire | Création de l'accès à son espace | Le temps de l'accès actif |
Ces durées sont indicatives. Vérifiez chaque obligation auprès de la CNIL et de votre comptable.
Quelle base légale pour traiter ces données ?
Le RGPD exige une base légale pour chaque traitement. Pour une écurie, la plus fréquente est l'exécution du contrat avec le propriétaire. Vient ensuite l'obligation légale, pour la comptabilité, puis l'intérêt légitime pour certaines opérations de gestion. Le consentement reste réservé à des cas précis, comme l'envoi d'une newsletter.
Le règlement liste six bases légales possibles (source : CNIL — Les bases légales). On en retient surtout trois en écurie :
- Le contrat : gérer la pension, facturer, communiquer sur le cheval découlent du contrat avec le propriétaire.
- L'obligation légale : conserver les factures répond à une exigence du Code de commerce.
- L'intérêt légitime : améliorer le service ou sécuriser l'accès, sans déséquilibre pour la personne.
Chaque traitement doit reposer sur une base identifiée. Tenir un carnet de soin partagé entre l'entraîneur, le vétérinaire et le propriétaire relève de l'exécution du contrat de prestation.
Minimiser les données : pourquoi collecter moins ?
La minimisation est un principe fondateur du RGPD : ne collecter que les données strictement utiles à la finalité. Une écurie n'a pas besoin de la date de naissance d'un propriétaire pour facturer sa pension. Demander moins réduit le risque, simplifie la gestion et renforce la confiance.
Le règlement impose des données « adéquates, pertinentes et limitées à ce qui est nécessaire » (source : EUR-Lex — RGPD article 5). En pratique, posez-vous une question simple avant chaque champ de formulaire. Cette information sert-elle vraiment la prestation ? Si la réponse est non, ne la collectez pas.
Moins de données collectées, c'est aussi moins de données à sécuriser et à supprimer plus tard. La minimisation n'est pas une contrainte ajoutée : elle allège tout le reste du dispositif.
Combien de temps conserver les données des propriétaires ?
Le temps nécessaire à la finalité, puis on archive ou on supprime. Une donnée gardée sans raison devient un risque. Le RGPD parle de limitation de la durée de conservation. Concrètement, vous définissez une durée par type de donnée et vous vous y tenez.
Les pièces comptables suivent une obligation légale de conservation distincte, souvent de dix ans pour les documents commerciaux (source : Service-public.fr — Durées de conservation des documents). Pour les autres données, comme les simples coordonnées d'un ancien propriétaire, la durée se justifie par l'usage. À la fin de la relation, la donnée non soumise à obligation légale doit disparaître ou être anonymisée.
Quels droits les propriétaires peuvent-ils exercer ?
Le RGPD donne aux personnes plusieurs droits sur leurs données. Un propriétaire peut demander à accéder à ses données, les corriger, les faire effacer, s'opposer à un traitement ou récupérer ses données dans un format réutilisable. L'écurie doit répondre, en principe sous un mois.
La CNIL rappelle que « toute personne dispose d'un droit d'accès, de rectification, d'effacement et de portabilité de ses données » (source : CNIL — Les droits pour maîtriser vos données). Voici la marche à suivre face à une demande :
- Identifier la personne qui demande, pour éviter de répondre au mauvais destinataire.
- Rassembler les données concernées ou préparer leur suppression.
- Vérifier qu'aucune obligation légale n'impose de conserver la donnée.
- Répondre dans le délai et conserver une trace de la demande et de la réponse.
Un outil qui cloisonne les données par compte facilite ces réponses, car il isole d'emblée ce qui appartient à chaque propriétaire.
Le logiciel d'écurie est-il un sous-traitant ?
Oui, dans la quasi-totalité des cas. L'éditeur qui héberge vos données pour votre compte agit comme sous-traitant au sens du RGPD. Cela vous engage, car vous restez responsable du traitement. L'article 28 impose alors un contrat écrit encadrant ce que ce sous-traitant peut faire de vos données.
Cet accord s'appelle souvent un DPA, pour Data Processing Agreement. Il précise les finalités, la sécurité, la confidentialité et le sort des données en fin de contrat (source : CNIL — Sous-traitant). Avant de choisir une application de gestion d'écurie de course, posez deux questions à l'éditeur : où sont hébergées les données, et fournissez-vous un DPA. Un hébergement dans l'Union européenne limite les transferts hors UE et leurs garanties plus lourdes. equiboard héberge ses données dans l'UE et cloisonne chaque compte.
Quelles mesures de sécurité une écurie doit-elle prendre ?
Le RGPD impose une sécurité adaptée au risque, sans imposer une recette unique. Pour une écurie, cela passe par des mots de passe solides, un accès limité aux bonnes personnes, un hébergement fiable et une vigilance sur les appareils utilisés au quotidien. La sécurité n'est pas qu'affaire de logiciel ; elle dépend aussi des gestes.
Le règlement parle de « mesures techniques et organisationnelles appropriées » (source : CNIL — Sécurité des données personnelles). Quelques réflexes concrets, sur iPhone comme sur ordinateur :
- Verrouiller l'appareil avec un code ou la biométrie.
- Ne partager un accès qu'avec les personnes qui en ont l'usage.
- Éviter d'envoyer des données sensibles par SMS ou messagerie non maîtrisée.
- Préférer un outil qui chiffre les données et tient un journal des accès.
Une violation de données doit, en principe, être notifiée à la CNIL sous 72 heures. Mieux vaut prévenir l'incident que gérer ses suites.
Faut-il tenir un registre des traitements ?
Oui, dans la plupart des cas, même pour une petite écurie. Le registre des traitements liste ce que vous faites des données : quelles données, pour quelle finalité, combien de temps, avec quels sous-traitants. C'est un document de pilotage simple, pas une formalité administrative lourde.
La CNIL met à disposition un modèle de registre pour les petites structures (source : CNIL — Le registre des activités de traitement). Pour une écurie, il tient souvent sur quelques lignes : gestion des propriétaires, facturation, suivi des chevaux, accès propriétaire. Le remplir une fois clarifie toute votre démarche de conformité et facilite les réponses aux demandes.
Comment se mettre en conformité, étape par étape ?
En procédant par ordre, sans chercher la perfection du premier coup. La conformité RGPD écurie est un cheminement continu, pas un certificat figé. Voici une trame pragmatique pour démarrer sereinement.
- Lister les données personnelles que vous traitez réellement.
- Attribuer une base légale et une finalité à chaque traitement.
- Appliquer la minimisation : supprimer les champs inutiles.
- Fixer une durée de conservation par type de donnée.
- Vérifier vos sous-traitants et leurs contrats (DPA, hébergement UE).
- Renforcer la sécurité des accès et des appareils.
- Rédiger votre registre des traitements.
- Préparer une procédure pour répondre aux droits des propriétaires.
Avancez par petites étapes. Documentez vos choix : en cas de contrôle, la traçabilité de votre démarche compte autant que le résultat. Et en cas de doute juridique, sollicitez la CNIL ou un conseil.
Questions fréquentes
Une écurie est-elle vraiment concernée par le RGPD ?
Oui. Dès qu'une écurie enregistre les coordonnées d'un propriétaire, ses factures ou ses échanges, elle traite des données personnelles. Le RGPD s'applique à tout professionnel établi dans l'Union européenne, sans seuil de taille. Une petite écurie est concernée au même titre qu'une grande, selon la CNIL.
Combien de temps conserver les données d'un propriétaire après son départ ?
Le principe est la limitation de la durée de conservation : on garde la donnée le temps de la finalité, puis on l'archive ou on la supprime. Les pièces comptables suivent l'obligation légale de conservation (souvent dix ans). Pour le reste, fixez une durée et tenez-vous-y. En cas de doute, consultez la CNIL.
Mon logiciel d'écurie est-il un sous-traitant au sens du RGPD ?
Oui, en général. L'éditeur qui héberge vos données pour votre compte est un sous-traitant. L'article 28 du RGPD impose un contrat écrit encadrant ce que le sous-traitant peut faire. Vérifiez l'existence d'un accord de traitement (DPA) et la localisation de l'hébergement avant de signer.
Que faire si un propriétaire demande l'accès ou la suppression de ses données ?
Le RGPD lui donne des droits : accès, rectification, effacement, opposition, portabilité. Vous devez répondre, en principe sous un mois. Identifiez la personne, fournissez les données concernées ou supprimez-les si aucune obligation légale ne s'y oppose. Documentez la demande et votre réponse.
Sources
- CNIL — Comprendre le RGPD : https://www.cnil.fr/fr/comprendre-le-rgpd
- CNIL — Sécurité des données personnelles : https://www.cnil.fr/fr/securite-des-donnees-personnelles
- CNIL — Le registre des activités de traitement : https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement
- EUR-Lex — Règlement général sur la protection des données : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
- Service-public.fr — Durées de conservation des documents : https://entreprendre.service-public.fr/vosdroits/F10029
- Légifrance — Loi Informatique et Libertés : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
Pour aller plus loin
- Logiciel de suivi des chevaux de course : historiser chaque journée — comment la donnée historisée se sécurise et se partage.
- Application de gestion d'écurie de course : ce qui change en 2026 — hébergement UE, DPA et standards de conformité.
- Carnet de soin partagé du cheval : véto, maréchal-ferrant et entraîneur — partager les données du cheval sans les disperser.
Questions fréquentes
- Une écurie est-elle vraiment concernée par le RGPD ?
Oui. Dès qu'une écurie enregistre les coordonnées d'un propriétaire, ses factures ou ses échanges, elle traite des données personnelles. Le RGPD s'applique à tout professionnel établi dans l'Union européenne, sans seuil de taille. Une petite écurie est concernée au même titre qu'une grande, selon la CNIL.
- Combien de temps conserver les données d'un propriétaire après son départ ?
Le principe est la limitation de la durée de conservation : on garde la donnée le temps de la finalité, puis on l'archive ou on la supprime. Les pièces comptables suivent l'obligation légale de conservation (souvent dix ans). Pour le reste, fixez une durée et tenez-vous-y. En cas de doute, consultez la CNIL.
- Mon logiciel d'écurie est-il un sous-traitant au sens du RGPD ?
Oui, en général. L'éditeur qui héberge vos données pour votre compte est un sous-traitant. L'article 28 du RGPD impose un contrat écrit encadrant ce que le sous-traitant peut faire. Vérifiez l'existence d'un accord de traitement (DPA) et la localisation de l'hébergement avant de signer.
- Que faire si un propriétaire demande l'accès ou la suppression de ses données ?
Le RGPD lui donne des droits : accès, rectification, effacement, opposition, portabilité. Vous devez répondre, en principe sous un mois. Identifiez la personne, fournissez les données concernées ou supprimez-les si aucune obligation légale ne s'y oppose. Documentez la demande et votre réponse.