La grande majorité des auto-entrepreneurs et des solopreneurs français travaillent sur leur ordinateur personnel — celui qui sert aussi pour Netflix, la déclaration d'impôts, et les photos de famille. Cette pratique est extrêmement répandue, parfaitement légitime économiquement, et n'est pas interdite par le RGPD. Aucun article du règlement n'exige un poste de travail dédié à l'activité professionnelle. Ce que le RGPD exige, c'est l'application de mesures techniques et organisationnelles appropriées (Art. 32) au regard du risque que présente le traitement.
Pour un auto-entrepreneur opérant en Niveau 2 EUDAI (usage professionnel pour soi-même, sans exposition de système IA à des clients finaux), cinq mesures sérieuses couvrent l'essentiel du risque et rendent la situation défendable en cas de contrôle CNIL. Cet article les détaille, explique pourquoi chacune compte, et propose une politique d'usage écrite que vous pouvez intégrer dans votre AIPD interne en moins d'une heure.
Aucun texte ne l'impose. Ni le RGPD, ni l'AI Act, ni le Code du travail (qui ne s'applique de toute façon pas à l'auto-entrepreneur sans salariés), ni les guides CNIL.
Ce qui est imposé, c'est :
Les guides CNIL sur la sécurité des données précisent les attendus : chiffrement, contrôle d'accès, MFA, sauvegardes, gestion des incidents. Tous ces attendus sont parfaitement réalisables sur un poste personnel correctement configuré. Source : cnil.fr/fr/securite-informatique.
L'idée du PC pro dédié vient de la culture entreprise, où la séparation matérielle (poste fourni par l'employeur, MDM, BYOD policy) est une bonne pratique pour des raisons internes RH et sécurité. Pour un auto-entrepreneur seul, c'est un overkill dispendieux qui ne change pas votre conformité.
C'est le point non-négociable. En cas de vol ou perte de votre laptop, le chiffrement de disque est ce qui rend les données inaccessibles à un tiers et neutralise le risque de violation au sens RGPD Art. 33-34. Sans chiffrement, un vol = violation à notifier à la CNIL sous 72 h, possiblement à chaque personne concernée.
| OS | Outil natif | Comment activer |
|---|---|---|
| macOS | FileVault | Préférences Système > Confidentialité et sécurité > FileVault > Activer |
| Windows 11 Pro / Enterprise | BitLocker | Panneau de configuration > Chiffrement de lecteur BitLocker |
| Windows 11 Home | Device Encryption (limité, dépend du TPM) | Paramètres > Confidentialité et sécurité > Chiffrement de l'appareil |
| Linux | LUKS (à l'install) | Choisir « chiffrer tout le disque » lors de l'installation |
Pour Windows 11 Home, le chiffrement Device Encryption est plus limité que BitLocker — il existe mais n'est pas équivalent en granularité. Si vous tournez sous Windows 11 Home et que vous traitez régulièrement des données clients, prévoir une upgrade vers Pro (~140 € en clé OEM) est un investissement réglementairement sain.
Sur le même Mac ou PC, créez un deuxième compte utilisateur dédié à votre activité pro. Vos applications pro (CRM, IDE, mail commercial, fichiers clients) sont installées et configurées dans ce compte. Vos applications perso (Netflix, photos famille, jeux) restent dans votre compte habituel.
Ce compte pro est séparé par le système d'exploitation : ses fichiers sont dans son propre /Users/votre-pro ou C:\Users\votre-pro, son cache navigateur est distinct, ses sessions cookies sont distinctes. Cela répond aux exigences Art. 5.1.c (minimisation) et Art. 32 (contrôle d'accès).
Sur macOS et Windows, le changement de compte se fait en deux clics. Sur Linux, idem.
Bonus : si vous avez des enfants qui utilisent occasionnellement votre laptop, le compte pro reste verrouillé, et aucun fichier client ne traîne sur le bureau partagé.
L'Art. 32 liste explicitement les sauvegardes comme attendu de sécurité. Sans backup, une panne disque = perte définitive de données client = violation Art. 5.1.f intégrité.
La règle pratique recommandée par EuTrustedIA : 3-2-1. Trois copies de vos données critiques, sur deux supports différents, dont une copie hors site.
| Niveau | Outil recommandé | Coût |
|---|---|---|
| Copie locale | Time Machine sur disque externe chiffré (Mac), File History (Windows), Borg / Restic (Linux) | ~80 € disque externe 1 To |
| Copie hors site EU | Infomaniak Swiss Backup (CH), OVH Cloud Backup (FR), Scaleway Object Storage Glacier (FR) | ~5-15 €/mois pour 100 Go |
| Copie redondante | NAS Synology / QNAP local + sync vers cloud EU | ~250 € NAS 2 baies |
Évitez les sauvegardes vers iCloud, Google Drive grand public, Dropbox grand public pour vos fichiers clients — ce sont des sous-traitants US sans DPA solo signé par défaut. Si vous y mettez des données clients, vous êtes en violation Art. 28.
Si vous tenez à utiliser iCloud (par confort macOS), créez un compte iCloud+ professionnel avec Advanced Data Protection activé (chiffrement de bout en bout), et signez le DPA Apple Business (apple.com/legal/business).
L'Art. 24 impose au responsable de traitement de pouvoir démontrer la conformité. Une politique d'usage écrite — même informelle, même solo — est l'artefact qui prouve que vous avez réfléchi à la sécurité de votre poste.
Le template ci-dessous tient en une page. Versionné dans votre repo docs/SECURITE.md ou imprimé dans un classeur, daté et signé par vous-même, il fait office d'ADR (Architecture Decision Record) opposable en cas de contrôle.
# Politique d'usage du poste de travail [Votre nom auto-entrepreneur]
Date : [aaaa-mm-jj]
Révision : tous les 12 mois ou à chaque changement matériel
## Matériel
- Modèle : [MacBook Pro 14" / ThinkPad X1 / etc.]
- N° de série : [pour traçabilité en cas de vol]
- Chiffrement de disque : FileVault / BitLocker / LUKS — activé le [date]
## Comptes
- Compte personnel : [nom-perso] — usage perso uniquement
- Compte professionnel : [nom-pro] — usage professionnel exclusif
- Mot de passe fort + biométrie activée
## Sauvegardes
- Locales : Time Machine vers disque [Modèle] chiffré APFS — quotidien automatique
- Hors site EU : [Infomaniak Swiss Backup / OVH] — quotidien automatique
- Test de restauration : tous les 6 mois — date dernière restauration testée : [date]
## MFA et mots de passe
- Gestionnaire de mots de passe : Bitwarden / 1Password / KeePass
- MFA activé sur : compte OS, Bitwarden, Mistral, GitHub, Stripe, CRM
- Clé physique : YubiKey / Token2 [optionnel mais recommandé]
## Incidents
- Procédure de notification CNIL en cas de vol / perte / fuite : voir [Politique violation 72h]
- Contact d'urgence : [moi-même] / [DPO délégué si désigné]
L'Art. 32.1.b exige « la capacité à garantir la confidentialité, l'intégrité, la disponibilité ». Le MFA universel est le moyen le plus efficace pour neutraliser le risque de compromission de compte (phishing, fuite de mot de passe, password reuse).
Recommandation EuTrustedIA :
Beaucoup d'auto-entrepreneurs s'inquiètent : « Si je travaille depuis chez moi, est-ce que ma cuisine devient mon établissement principal au sens RGPD ? »
La réponse est oui, et ce n'est pas un problème. L'établissement principal au sens RGPD Art. 4.16 désigne « l'établissement central du responsable du traitement dans l'Union, à moins que les décisions concernant les finalités et les moyens du traitement […] soient prises dans un autre établissement ». Pour un auto-entrepreneur seul travaillant depuis son domicile, l'établissement principal est votre domicile fiscal. C'est cette information que vous indiquez dans vos mentions légales, dans vos politiques de confidentialité, et dans votre registre Art. 30.
La domiciliation commerciale chez un prestataire (Les Tricolores, SeDomicilier, etc.) ne change pas l'établissement principal au sens RGPD si vos décisions de traitement sont prises de chez vous. Cela change votre adresse postale officielle, pas votre établissement principal de fait.
Le poste de travail perso reste acceptable tant que :
Le basculement obligatoire se fait quand vous opérez en Niveau 3 EUDAI : votre système IA est exposé à vos clients finaux. À ce moment, la production critique passe sur un serveur EU dédié. Votre laptop reste votre poste de développement, mais ne porte plus la charge utile.
C'est notamment ce que recommande le Framework EUDAI v1.2 (§ 2.1) au titre du Pilier 1 Souveraineté radicale : la production critique sur infra EU souveraine (Scaleway, OVH, Infomaniak), peu importe ce qui tourne sur votre poste développeur.
Pour un auto-entrepreneur IA français qui démarre, voici la trousse complète qui couvre tout Art. 32 sans s'arracher les cheveux.
| Outil | Coût mensuel | Fonction |
|---|---|---|
| Bitwarden Premium | 1 €/mois | Gestionnaire de mots de passe + MFA |
| Infomaniak Swiss Backup 300 Go | 5 €/mois | Sauvegardes hors site EU chiffrées |
| Infomaniak kSuite Standard | 7 €/mois | Mail pro + kDrive + kMeet EU |
| YubiKey 5 NFC (achat one-shot ~50 €) | amortie | MFA hardware sur comptes critiques |
| FileVault / BitLocker | 0 € | Chiffrement de disque natif OS |
| Politique d'usage écrite | 0 € | Démonstration Art. 24 |
Total : ~13 €/mois récurrent + ~50 € one-shot. Inférieur au coût d'un repas en restaurant. Couvre l'essentiel des attendus CNIL.
Travailler sur son ordinateur personnel quand on est auto-entrepreneur n'est ni interdit, ni dangereux en soi. Cinq mesures sérieuses — chiffrement de disque, compte dédié, sauvegardes EU, politique écrite, MFA universel — couvrent l'essentiel du risque Art. 32 et rendent la situation défendable. Le seul cas où vous devez basculer sur infrastructure dédiée, c'est le Niveau 3 EUDAI quand votre produit IA est exposé à vos clients finaux.
Notre page de recommandations 12 outils liste Bitwarden, Infomaniak et YubiKey. Pour un audit de votre stack avec analyse Art. 32 + Niveau EUDAI explicite, voir nos plans POSITRONIA-CORE.
Cet article a été rédigé par Claude Opus 4.7 sur la base du Framework EUDAI v1. Relecture humaine Laurent SOUHY. Vos retours : contact@eutrustedia.eu.