edifioTester gratuitement
Conformité 6 mai 2026 Lecture 8 min

RGPD pour les cabinets MOE : ce que vous devez vraiment faire (et ce qu'on vous vend en trop)

Le RGPD a huit ans. Et pourtant, beaucoup de cabinets de maîtrise d'œuvre se font encore vendre des prestations « mise en conformité RGPD » à 4 chiffres pour des obligations qui, dans la pratique, se résument à une demi-journée de paramétrage.

Pourquoi le RGPD concerne aussi les petits cabinets MOE

Le règlement européen sur la protection des données (RGPD, en vigueur depuis mai 2018) s'applique à toute structure qui traite des données personnelles dans le cadre d'une activité économique en Europe. Y compris une SARL d'économie de la construction de 3 personnes.

Concrètement, dans un cabinet MOE, vous traitez des données personnelles dès que vous :

  • Conservez les coordonnées des conducteurs de travaux (entreprises, MOA, BET).
  • Stockez les emails et téléphones dans vos listes de diffusion CR.
  • Photographiez un chantier où apparaissent des compagnons identifiables.
  • Gérez la paie ou la comptabilité interne.

Le seuil n'est pas le chiffre d'affaires, ni l'effectif : c'est le simple fait de traiter ces données. Mais — bonne nouvelle — la majorité des obligations sont proportionnées au risque, et pour un cabinet MOE, le risque est généralement faible.

Les 5 obligations que vous devez vraiment respecter

1. Tenir un registre des activités de traitement

C'est l'obligation socle. Un tableau Excel suffit. Vous y listez vos traitements (gestion clients, gestion fournisseurs, gestion CR, paie…) avec, pour chacun : finalité, base légale, catégories de données, durée de conservation, destinataires, mesures de sécurité. La CNIL fournit un modèle gratuit. Comptez une demi-journée pour le rédiger la première fois, puis une mise à jour annuelle.

2. Informer les personnes concernées

Toute personne dont vous traitez les données doit être informée. Pour vos contacts pro (clients, entreprises, BET), une mention dans la signature mail ou dans une page « Mentions légales » du site web suffit dans 95% des cas. Modèle CNIL disponible.

3. Sécuriser vos données

Mots de passe robustes, double authentification sur les comptes critiques (Microsoft 365, OneDrive, banque), antivirus à jour, sauvegardes régulières testées. Si vos données sont sur un disque dur posé sur le bureau de l'agence, sans chiffrement, vous êtes en faute.

4. Permettre l'exercice des droits des personnes

Toute personne peut vous demander : ses données (droit d'accès), leur correction (rectification), leur suppression (effacement), leur portabilité. Vous avez un mois pour répondre. C'est rarissime dans un contexte MOE B2B, mais ça arrive — un ancien stagiaire qui veut être supprimé de votre serveur, par exemple.

5. Encadrer vos sous-traitants

Tout outil cloud que vous utilisez (CRM, GED, comptabilité, suivi de chantier) traite les données pour vous. Vous devez avoir signé un contrat de sous-traitance RGPD avec eux. Article 28. C'est à eux de vous le fournir. Si un éditeur SaaS refuse de signer ce contrat ou ne sait pas de quoi vous parlez : fuyez.

« 80% des dossiers RGPD d'un cabinet MOE de moins de 10 personnes tiennent dans un classeur. Le reste, c'est de la rigueur quotidienne, pas une consultance à 5 000 €. »

Les fausses obligations qu'on essaie de vous vendre

Mythe : il faut un DPO obligatoire

Faux. Le DPO (Délégué à la Protection des Données) est obligatoire seulement pour les administrations, les structures qui traitent des données sensibles à grande échelle, ou celles qui font de la surveillance systématique. Un cabinet MOE de 10 personnes n'en a pas besoin. Vous pouvez désigner un référent RGPD interne (vous, votre associé, votre assistante) et c'est très bien.

Réalité : un référent interne suffit dans 95% des cas
Mythe : il faut un audit RGPD complet à 5 000 €

Hors gros cabinet ou cas spécifique (données médicales, surveillance vidéo extensive, profilage), un audit complet est surdimensionné. Les guides CNIL gratuits, ciblés petites entreprises, suffisent largement à un cabinet MOE pour mettre en place les bases.

Réalité : la CNIL met tout à disposition gratuitement
Mythe : si mon hébergeur est américain, je suis hors-la-loi

Nuancé. Depuis le Data Privacy Framework (juillet 2023), les transferts UE-USA sont à nouveau autorisés si l'hébergeur est certifié. Mais soyons honnêtes : pour un MOE, choisir un hébergeur européen (OVH, Scaleway, Hetzner) reste plus simple, plus défendable, et souvent moins cher. Et c'est un argument commercial direct face à une MOA publique.

Réalité : préférez l'EU pour la simplicité, mais ce n'est pas illégal autrement

Le cas spécifique des photos de chantier

C'est probablement votre plus gros risque RGPD au quotidien : la photo de chantier qui finit dans un CR ou sur LinkedIn, et où apparaît clairement un compagnon ou un visiteur. Quelques règles simples :

  • Sur un chantier privé, prévenez les entreprises que des photos sont prises pour le suivi MOE (mention dans le CCAP ou dans le PIC). C'est la base de l'intérêt légitime.
  • En diffusion externe (LinkedIn, plaquette commerciale), demandez un accord écrit ou floutez les visages. C'est cinq secondes par photo dans n'importe quel logiciel.
  • Conservez les photos dans un environnement sécurisé. Pas sur le smartphone perso non chiffré.

edifio et le RGPD by design

Quand nous avons conçu edifio Suivi, nous avons fait des choix structurants pour minimiser votre charge RGPD :

  • Hébergement 100% France / UE (Vercel EU + base de données Postgres en région européenne).
  • Cloisonnement par cabinet : aucun de vos chantiers n'est accessible à un autre cabinet, même partiellement.
  • Droit d'accès et d'effacement implémentés nativement : un export complet des données du cabinet est disponible en un clic, et la suppression d'un compte purge les données associées.
  • IA française (Claude par Anthropic, accédée via l'API européenne) avec engagement de non-réutilisation des données pour l'entraînement.
  • Contrat de sous-traitance RGPD (article 28) fourni à la signature, sans surcoût.
Le bon réflexe. Avant de signer avec n'importe quel SaaS, demandez : « Où sont hébergées mes données ? » et « Pouvez-vous me fournir un contrat de sous-traitance RGPD ? ». Si la réponse est floue, passez votre chemin.

Conclusion : la conformité, ça se construit

Le RGPD n'est pas un obstacle, c'est un cadre. Pour un cabinet MOE, il se traduit par une demi-journée de mise en place initiale, un registre tenu à jour, et le bon réflexe au moment de choisir vos outils. Pas par des prestations à plusieurs milliers d'euros.

Pour aller plus loin, consultez les guides CNIL gratuits, et n'hésitez pas à nous écrire si vous avez des questions sur l'architecture RGPD d'edifio Suivi.

Un suivi de chantier qui ne vous met pas en risque RGPD.

edifio Suivi est hébergé en France, conçu RGPD by design, et inclut le contrat article 28 sans surcoût.

Découvrir edifio Suivi
ST
Par Sébastien Teissier, AlyoS Ingénierie
Publié le 6 mai 2026
← Retour au blogRGPD

À lire aussi

edifio Suivi vous intéresse ?

Découvrez la suite logicielle qui change le quotidien des cabinets MOE — 14,99€/utilisateur/mois HT.

Voir edifio Suivi →
RGPD pour cabinets MOE : ce qu'il faut vraiment faire (et ce qu'on vous vend en trop) — Blog edifio · edifio