Une cliente revient, furieuse, un capture d’écran à la main : une promo “couleur” reçue par SMS alors qu’elle n’avait jamais rien demandé, deux ans après son seul passage au salon. Et sur l’Instagram du salon, sa photo avant/après, postée sans qu’on lui ait jamais posé la question. Rien de méchant au départ : la gérante avait juste collé son fichier de rendez-vous dans un assistant IA pour générer une campagne de relance, et publié les plus belles photos du book. Sauf que chacun de ces gestes est un traitement de données personnelles dont le salon, pas l’outil, est responsable. La question n’est donc pas de savoir si tu manipules des données en utilisant l’IA. Tu en manipules. La seule question, c’est de savoir si tu le fais proprement.

Cet article fait partie de notre guide complet de l’IA pour les coiffeurs et esthéticiennes.

Cet article donne une méthode opérationnelle. Il ne remplace ni les recommandations de la CNIL, ni l’avis d’un juriste pour ton cas précis. Pour une situation particulière, réfère-toi aux sources officielles citées en bas de page.

Ce que ton salon stocke vraiment sur ses clients

On croit souvent que le RGPD, c’est pour les grandes entreprises avec des bases de données géantes. Faux. Dès que tu notes le numéro d’une cliente pour lui envoyer un rappel, tu tiens un fichier. Et la CNIL est claire : le RGPD s’applique aux données contenues dans un fichier, qu’il soit informatisé ou papier. Ton cahier de rendez-vous compte autant que ton logiciel de caisse.

Concrètement, voici ce qu’un salon de coiffure ou d’esthétique accumule, souvent sans y penser :

  • Les coordonnées : nom, téléphone, email, parfois adresse.
  • L’historique de prestations : couleurs, formules, dates, montants, fréquence de passage.
  • Des préférences et notes : allergies à un produit, sensibilité du cuir chevelu, type de peau.
  • Des photos avant/après : visage, coupe, état de la peau ou des ongles.
  • Les canaux de contact : abonnement aux SMS, historique des relances.

Tout n’a pas le même poids. Une allergie produit ou une photo qui montre l’état d’une peau touche à des informations plus intimes que la simple date du dernier rendez-vous. En esthétique surtout, certaines images peuvent révéler une condition relevant de la santé, et le RGPD entoure ce type d’information de précautions renforcées. La frontière à garder en tête n’est pas “important / pas important”, c’est : est-ce qu’on peut relier ça à une personne identifiable, et est-ce que ça touche à son intimité ?

Le réflexe à graver Avant de saisir, d'exporter ou de publier quoi que ce soit, pose-toi une seule question : "si cette info fuitait demain, est-ce qu'on pourrait remonter à ma cliente, et est-ce que ça lui porterait préjudice ?" Si oui, tu encadres ou tu ne le fais pas.

Les règles concrètes, sans jargon

Le RGPD tient en quelques principes simples une fois traduits en gestes de salon. Voici ceux qui te concernent vraiment.

Minimisation. Tu ne collectes que ce qui sert. La CNIL le dit sans détour : vendre un service ne nécessite pas toujours de recueillir des données personnelles, et il faut distinguer les informations obligatoires des facultatives. Demander la date de naissance “pour le fichier” alors que tu n’en fais rien, c’est de la collecte de trop.

Base légale et consentement marketing. Tenir un fichier pour gérer les rendez-vous et la prestation repose sur l’exécution du contrat. Mais envoyer une offre commerciale par SMS ou email, c’est de la prospection, et en B2C la CNIL impose un consentement préalable. Pas un consentement noyé dans des conditions générales : une action positive et spécifique, comme une case à cocher dédiée qui n’est pas pré-cochée. La formule de la CNIL résume tout : “s’il n’a pas dit oui, c’est non.” Et chaque message doit offrir un moyen simple de se désinscrire.

Pas de données nominatives dans un LLM grand public. C’est le piège du moment. La CNIL est explicite : saisir dans un outil d’IA générative le nom d’un client, le contenu d’un message ou une fiche, c’est transmettre ces données au fournisseur, qui peut les réutiliser pour entraîner ses modèles selon ses conditions. Et c’est l’organisation qui engage sa responsabilité en cas de mauvais usage par son personnel. Pour des données clients ou des informations sensibles, la CNIL recommande de privilégier des solutions limitant l’extraction vers un tiers, et au minimum de désactiver la réutilisation des données d’usage quand l’outil le permet.

Sous-traitance et contrat. Ton agenda en ligne, ton logiciel de caisse, ta plateforme d’envoi de SMS : ce sont des sous-traitants qui traitent les données de tes clients pour ton compte. L’article 28 du RGPD impose un contrat écrit qui encadre leur usage, garantit la confidentialité et la suppression des données en fin de prestation. Avant de signer pour un nouvel outil, la question n’est pas “est-ce qu’il est pratique” mais “qu’est-ce qu’il fait de mes données, et où”.

Durées de conservation. On ne garde pas un fichier “au cas où” pour toujours. La CNIL recommande de prévoir la suppression en cas d’inactivité prolongée, soit, sauf exception, 3 ans à compter de la fin de la relation commerciale, c’est-à-dire du dernier passage ou contact. C’est précisément ce que la cliente furieuse de notre ouverture pouvait reprocher : une relance deux ans après un unique rendez-vous, sans consentement, sur un fichier qui aurait dû être nettoyé.

Droits des personnes. Tes clients peuvent demander à accéder à leurs données, les corriger, les faire effacer, ou s’opposer à la prospection. Tu dois pouvoir répondre, en principe sous un mois. En clair : savoir retrouver et supprimer la fiche d’une personne qui le demande n’est pas une option.

Le RGPD te désigne responsable du traitement, et aucune case cochée dans une application ne déplace cette responsabilité vers ton prestataire ou vers l’outil d’IA. La méthode prime sur le logiciel.

Le cas des photos avant/après

C’est le sujet où les salons dérapent le plus, parce que la photo est devenue un réflexe marketing. Une personne reconnaissable sur une image est une donnée personnelle. En esthétique, une photo qui montre l’état d’une peau, un soin du visage ou une correction peut en plus toucher à des informations relevant de l’intimité, que le RGPD protège plus strictement.

Le bon réflexe tient en trois temps. D’abord, un consentement écrit, spécifique et distinct : pas une ligne perdue dans un formulaire d’accueil, mais un accord clair pour “publier ma photo sur les réseaux du salon” ou “utiliser ma photo dans des supports”. Ensuite, la liberté réelle de refuser : la cliente doit pouvoir dire non sans que sa prestation en pâtisse. Enfin, la révocabilité : elle peut changer d’avis, et tu dois alors retirer l’image.

Et côté IA, la règle est la même que pour le texte : une photo de cliente identifiable n’a rien à faire dans un outil de retouche ou de génération grand public dont tu ne maîtrises pas ce qu’il advient de l’image. Si tu veux travailler tes visuels avant/après, soit tu as un consentement spécifique couvrant ce traitement, soit tu travailles sur des images de modèles dédiées au book, pas sur la cliente de 14h.

Là où ça coince vraiment "Elle était d'accord, elle m'a souri quand j'ai pris la photo" n'est pas un consentement. Le consentement RGPD est une action positive, documentée et révocable. Un sourire dans le fauteuil ne couvre ni la publication, ni un passage dans un outil d'IA.

Bon usage contre mauvais usage : trois exemples

Le plus parlant, c’est de mettre les gestes côte à côte.

Relances clients. Mauvais usage : coller la liste exportée de l’agenda, avec noms et numéros, dans un assistant IA grand public en lui demandant “écris-moi un SMS de relance pour ces 80 clientes”. Bon usage : demander à l’IA un modèle de SMS générique et personnalisable (“Bonjour [Prénom], il est temps pour votre retouche couleur…”), puis insérer les coordonnées toi-même depuis ton logiciel, sans jamais transmettre le fichier. L’IA t’aide à écrire, elle ne touche pas aux données.

Photo avant/après pour Instagram. Mauvais usage : publier la plus belle transformation du mois parce qu’elle est superbe, sans rien demander. Bon usage : faire signer un accord photo au moment de la prestation, garder une trace de qui a accepté quoi, et ne publier que ce périmètre. Pour aller plus loin, voir notre article sur les contenus Instagram avant/après.

Rappels de rendez-vous. Mauvais usage : profiter du SMS de rappel pour glisser une promo à une cliente qui n’a jamais consenti au marketing. Bon usage : séparer nettement le rappel de rendez-vous, lié à la prestation, des messages commerciaux, qui eux exigent un consentement préalable. Notre article sur les rappels SMS et no-shows détaille la mécanique.

Ta checklist confidentialité, à cocher une fois

Fais ce point une fois, puis à chaque nouvel outil ou nouvelle habitude. Une demi-journée bien investie.

  • Inventaire : lister où sont stockées les données clients (agenda en ligne, caisse, téléphone, cahier, exports).
  • Minimisation : supprimer les champs collectés “pour rien”, distinguer obligatoire et facultatif.
  • Consentement marketing : une case dédiée non pré-cochée pour les SMS et emails promo, et un lien ou mot-clé de désinscription dans chaque message.
  • Sous-traitants : vérifier qu’un contrat existe avec chaque prestataire (agenda, SMS, caisse) et savoir où sont hébergées les données.
  • Règle IA : jamais de fichier ni de coordonnées nominatives dans un outil grand public ; faire générer des modèles, pas traiter des listes réelles.
  • Photos : un accord écrit, spécifique et révocable avant toute publication ou tout traitement d’image identifiable.
  • Conservation : programmer un nettoyage des fichiers inactifs (repère des 3 ans après le dernier contact, sauf obligation comptable).
  • Droits : savoir retrouver, corriger et supprimer la fiche d’une cliente qui le demande, sous un mois.

Ce qui reste, en dernier ressort, ta responsabilité

Aucun logiciel, même hébergé en France et vendu “100 % RGPD”, ne décide à ta place de ce qui peut sortir de ton salon. Cette qualification, c’est ton jugement, et il reste entier. L’outil exécute une consigne ; il ne sait pas qu’une photo anodine, recoupée avec un prénom, suffit à identifier ta cliente du quartier. Toi, si.

Et la responsabilité ne se sous-traite pas. Le jour où un fichier fuite ou qu’une photo est publiée sans accord, ce n’est pas l’éditeur de l’application qui répond : c’est le salon, responsable de traitement. C’est pour ça que la méthode prime sur l’outil. Un bon logiciel mal utilisé fuit ; un outil moyen utilisé avec consentement, minimisation et règle “pas de données nominatives dans l’IA grand public” protège. Le réflexe vaut mieux que l’abonnement.

À retenir, sans détour

Tu n’as pas à choisir entre l’IA et le respect de tes clientes. Tu as à les faire cohabiter par des gestes simples : ne collecter que l’utile, recueillir un vrai consentement avant tout SMS marketing ou toute photo, ne jamais confier un fichier nominatif à un outil grand public, encadrer tes prestataires par contrat, nettoyer les vieux fichiers, et savoir répondre quand une cliente exerce ses droits. C’est un peu de discipline au départ, pas plus de friction une fois le pli pris.

À lire ensuite

Cadrer tes usages

La conformité ne s’improvise pas cliente après cliente. Pour poser une fois pour toutes tes règles d’usage de l’IA, tes outils et ton process de consentement, un diagnostic dédié fait gagner du temps et lève le risque. Découvre notre diagnostic IA pour faire le point sur ton salon.

Sources

Rédigé par IA, validé par humain. Aucun éditeur cité ne nous rémunère. Cet article ne remplace pas les recommandations officielles de la CNIL ni l’avis d’un juriste.

Questions fréquentes

Puis-je coller mon fichier clients dans ChatGPT pour rédiger des relances ?
Pas avec les vraies coordonnées. La CNIL rappelle que saisir des données personnelles (nom, téléphone, email de client) dans un service d'IA générative grand public est un traitement dont ton organisation est responsable, et que ces données peuvent servir à entraîner le modèle selon les conditions d'utilisation. Tu peux faire rédiger un modèle de SMS générique par l'IA, puis insérer toi-même le prénom et le numéro depuis ton logiciel, sans jamais transmettre la liste.
Faut-il le consentement du client pour lui envoyer un SMS de promotion ?
Oui en B2C. La CNIL impose un consentement préalable pour la prospection par SMS et email : une action positive et spécifique, comme une case à cocher dédiée non pré-cochée. L'acceptation des conditions générales ne suffit pas, et chaque message doit offrir un moyen simple de se désinscrire. Un rappel de rendez-vous, lui, relève de l'exécution de la prestation et non de la prospection : il ne suit pas la même logique qu'une offre commerciale.
Combien de temps puis-je garder les données de mes clients ?
La CNIL recommande, sauf exception, une conservation des données à des fins de prospection de 3 ans à compter de la fin de la relation commerciale, c'est-à-dire du dernier contact ou de la dernière prestation. Au-delà, les données doivent être supprimées ou archivées. Certaines données de facturation suivent des obligations comptables distinctes.
Une photo avant/après est-elle une donnée personnelle ?
Oui. Une personne reconnaissable sur une photo est une donnée personnelle, et en esthétique l'image peut révéler des informations sur l'état de la peau ou un soin, donc toucher à des données plus sensibles. Tu as besoin d'un consentement écrit, spécifique et révocable avant de la publier ou de la confier à un outil. Le client doit pouvoir refuser sans que cela change sa prestation.