Chaque fiche de consentement que vous faites signer contient des informations personnelles : identité, âge, parfois des éléments de santé. Le RGPD tatoueur ne vous interdit pas de les collecter, mais il encadre pourquoi, comment et surtout combien de temps vous les gardez. Bonne nouvelle : quelques réflexes simples suffisent pour rester en règle.
Cet article a une visée informative et ne constitue pas un conseil juridique.
Le RGPD, en clair, pour un studio
Dès que vous notez le nom d'un client, sa date de naissance ou une réponse à un questionnaire santé, vous traitez des données personnelles. Le RGPD (Règlement général sur la protection des données) s'applique donc à tout studio de tatouage ou de piercing, qu'il travaille sur papier ou sur écran, seul ou en équipe.
L'idée de fond tient en une phrase : vous pouvez collecter des données si vous en avez une bonne raison, à condition de n'en prendre que le nécessaire, de les protéger et de ne pas les garder indéfiniment. Rien d'insurmontable : la fiche de consentement a justement une raison d'être claire, prouver que le client était informé et d'accord avant l'acte.
Pourquoi vous collectez ces données
Sur le plan RGPD, une fiche de consentement repose généralement sur deux logiques : le respect d'obligations liées à votre activité (information préalable, traçabilité de l'acte) et votre intérêt légitime à pouvoir prouver, en cas de litige, que le client avait bien consenti. Vous n'avez pas à demander une « autorisation RGPD » séparée pour faire signer la fiche : le consentement à l'acte et le recueil des données vont de pair. En revanche, si vous réutilisez ensuite les coordonnées pour envoyer des offres commerciales, c'est un autre usage, qui suppose en principe l'accord explicite du client.
Quelles données figurent sur une fiche ?
En pratique, une fiche de consentement de studio contient :
- Des données d'identité : nom, prénom, date de naissance, éventuellement coordonnées (e-mail, téléphone) et, pour un mineur, l'identité du représentant légal.
- Des données relatives à l'acte : date, zone tatouée ou percée, type de prestation.
- Des données de santé : allergies, traitement en cours, grossesse, antécédents… Ce sont des données sensibles au sens du RGPD, qui appellent une vigilance particulière.
Attention aux données de santé
Les informations de santé bénéficient d'une protection renforcée. Vous avez une raison légitime de poser ces questions : elles conditionnent la sécurité de l'acte (une contre-indication peut vous amener à refuser ou reporter). Mais parce qu'elles sont sensibles, elles doivent être encore mieux protégées que le reste, et surtout ne pas traîner sur un carnet accessible à tous. Un questionnaire santé bien pensé propose souvent des réponses fermées (oui / non / non renseigné) plutôt qu'un champ libre où le client détaillerait sa vie médicale : c'est exactement l'esprit de la minimisation.
Le principe de minimisation : ne notez que l'utile
La minimisation, c'est la règle la plus simple à appliquer et celle qui vous protège le plus : ne collectez que ce dont vous avez réellement besoin. Une donnée que vous ne détenez pas est une donnée que vous n'avez ni à sécuriser, ni à conserver, ni à justifier.
- Le numéro de carte d'identité n'est en général pas nécessaire : vérifier l'âge de visu ou avec une pièce ne veut pas dire en garder une copie.
- Les questions santé doivent rester ciblées sur ce qui influence l'acte, pas sur l'ensemble du dossier médical.
- Les commentaires libres sont à limiter : on y consigne parfois, sans y penser, des informations très personnelles.
Pour savoir quelles mentions sont vraiment attendues sur la fiche elle-même, voyez notre article sur les mentions obligatoires d'un formulaire de consentement tatouage (et l'équivalent pour le piercing).
Combien de temps conserver une fiche de consentement ?
C'est la question qui revient le plus souvent, et la réponse surprend parfois : il n'existe pas de durée unique imposée par le RGPD pour la conservation d'une fiche de consentement. Le règlement ne fixe pas « X années » ; il pose un principe : on conserve une donnée aussi longtemps qu'elle est nécessaire à sa finalité, puis on la supprime ou on l'anonymise.
Le bon raisonnement : le temps de pouvoir prouver le consentement
Pour une fiche de consentement, la finalité est essentiellement probatoire : prouver, en cas de contestation, que le client était informé et d'accord. La durée de conservation du consentement se raisonne donc en fonction du temps pendant lequel un litige reste envisageable. En pratique, beaucoup de professionnels retiennent une durée de quelques années après l'acte, alignée sur les délais durant lesquels leur responsabilité pourrait être recherchée, puis suppriment la fiche. En cas de doute sur la durée à retenir, un renseignement auprès de la CNIL ou d'un juriste reste le réflexe le plus sûr.
Ce qu'il faut retenir :
- Vous fixez vous-même une durée raisonnable et justifiable, et vous vous y tenez.
- Conserver « au cas où », sans limite, n'est pas conforme : c'est même le réflexe que le RGPD cherche à corriger.
- Une fois la durée écoulée, la fiche doit être effectivement supprimée (papier détruit, fichier effacé), pas juste oubliée au fond d'un tiroir.
Pour le cas particulier des mineurs, où l'autorisation parentale s'ajoute au dossier, voyez notre guide sur tatouer un mineur et l'autorisation parentale.
Sécurité et accès aux fiches
Collecter proprement ne suffit pas : encore faut-il protéger ce que vous détenez. Le niveau d'exigence monte d'un cran dès qu'il y a des données de santé.
- Limiter l'accès : seules les personnes qui en ont besoin (vous, votre associé) devraient pouvoir consulter les fiches. Un classeur ouvert sur le comptoir, à portée de tous les clients, n'est pas une bonne idée.
- Protéger le support : papier sous clé ; fichiers sur un appareil verrouillé par code ou biométrie, idéalement chiffré.
- Éviter la dispersion : photos de fiches dans la galerie du téléphone, envois par messagerie personnelle, tableurs partagés en clair… autant de fuites potentielles à éviter.
Informer le client
Le RGPD donne des droits aux personnes : savoir quelles données vous détenez, y accéder, demander une correction ou une suppression. En contrepartie, vous devez les informer, en langage simple, de ce que vous faites de leurs données. Une courte mention sur la fiche ou affichée dans le studio suffit généralement : qui collecte, pourquoi, combien de temps c'est conservé, et comment exercer ses droits. Pas besoin d'un pavé juridique ; l'important est que le client comprenne.
Papier ou numérique : qu'est-ce qui change ?
Le RGPD s'applique dans les deux cas : une fiche papier reste une donnée personnelle. Mais les risques et les facilités diffèrent.
- Le papier s'accumule, s'égare, se photocopie et se stocke souvent sans réel contrôle d'accès. Purger d'anciennes fiches signifie retrouver et détruire physiquement chaque document : en pratique, c'est rarement fait.
- Le numérique, bien configuré, facilite le verrouillage de l'accès, la recherche d'une fiche à la demande du client et surtout la suppression, y compris automatique au bout d'une durée définie. Encore faut-il un outil pensé pour ça, et non un simple dossier de photos.
Questions fréquentes
Combien de temps dois-je garder une fiche de consentement ?
Aucune durée unique n'est imposée par le RGPD. Le principe est de conserver la fiche le temps nécessaire à sa finalité, essentiellement pouvoir prouver le consentement en cas de litige, puis de la supprimer. Beaucoup de studios retiennent une durée de quelques années après l'acte, cohérente avec les délais durant lesquels leur responsabilité pourrait être engagée ; en cas de doute, la CNIL ou un juriste peut vous confirmer une durée adaptée à votre situation.
Les questions santé sont-elles autorisées par le RGPD ?
Oui, dès lors qu'elles servent la sécurité de l'acte (repérer une contre-indication). Ce sont toutefois des données sensibles : on se limite au strict nécessaire, on privilégie des réponses fermées plutôt que du texte libre, et on les protège avec un soin particulier.
Une fiche papier est-elle concernée par le RGPD ?
Oui. Le RGPD ne fait pas de distinction de support : une fiche papier contenant des données personnelles doit être sécurisée, à accès limité, et détruite au terme de sa durée de conservation, exactement comme un fichier numérique.
Comment ConsentForm vous aide à rester en règle
ConsentForm est une application iPhone et iPad qui digitalise le formulaire de consentement tatouage et piercing. Le client remplit sa fiche sur la tablette : identité, questionnaire de santé avec alertes automatiques en cas de réponse à surveiller, gestion du parcours mineur ou majeur, puis signature à l'écran. La fiche est générée en PDF, envoyée automatiquement par e-mail et archivée de façon centralisée, sans photos qui traînent dans une galerie ni classeur ouvert sur le comptoir. Vos fiches restent regroupées, protégées et faciles à retrouver, ce qui simplifie autant le suivi quotidien que le respect des principes du RGPD.
À lire aussi : notre modèle de formulaire de consentement tatouage en PDF.