RGPD et PCI pour les studios

Ceci n'est pas un conseil juridique — consultez un avocat pour les questions propres à votre juridiction. Mais le contour pratique est clair. Le RGPD exige que vous traitiez les données personnelles des résidents de l'UE et du Royaume-Uni (noms, e-mails, présences) avec une finalité déclarée, le consentement du membre si requis, le droit d'accès et de suppression sur demande, ainsi qu'une procédure de notification en cas de violation. Les principales obligations RGPD au quotidien pour un studio : une politique de confidentialité sur votre site, un moyen pour les membres de télécharger leurs propres données et un moyen de supprimer complètement un membre sur demande.

La norme PCI DSS régit les données de cartes bancaires. Le niveau de conformité qu'un petit studio doit atteindre est le plus bas (SAQ-A ou SAQ-A-EP), ce qui signifie essentiellement : ne pas stocker de numéros de cartes complets sur vos propres systèmes. Utilisez un prestataire de paiement (Stripe, Square, Adyen) qui gère le stockage de son côté. Votre logiciel studio doit conserver un jeton, pas un numéro de carte.

Le piège de conformité le plus courant pour les studios est la migration des données membres. Si vous exportez un CSV avec les e-mails et adresses des membres, puis l'envoyez par e-mail à vos collaborateurs via une messagerie personnelle, c'est une violation du RGPD. La solution est simple : conservez le fichier dans votre logiciel studio, limitez les droits d'export et supprimez les exports une fois la migration terminée.

Si vos membres sont principalement locaux et que votre prestataire gère les cartes, vous êtes couvert à 90 % par l'utilisation d'un logiciel conforme. Les 10 % restants relèvent de la politique interne : une notice de confidentialité écrite, un processus clair de suppression sur demande et une formation des instructeurs/collaborateurs pour ne pas partager les exports en dehors du système.