Sommaire ↓
- Pourquoi le funéraire est une cible RGPD sensible
- Le cas particulier des données du défunt
- Les 5 fondamentaux à mettre en place
- 1. Le registre des traitements
- 2. Les bases légales
- 3. Les mentions d'information
- 4. Les droits des familles
- 5. La sécurité technique
- Durées de conservation : le tableau de référence
- Sous-traitants : le DPA est obligatoire
- Sanctions CNIL et risques en 2026
- Comment Serenos est nativement conforme
RGPD pompes funèbres : guide pratique 2026
Registre, durées de conservation, sous-traitants, sanctions CNIL : tout sur le RGPD appliqué au secteur funéraire en 2026.
Le secteur funéraire manipule des données particulièrement sensibles : santé, situation familiale, ressources, parfois religion ou orientation. Pourtant, beaucoup de pompes funèbres indépendantes restent en zone grise sur leur conformité RGPD — par méconnaissance plus que par négligence.
Ce guide remet à plat les fondamentaux applicables à une pompes funèbres en 2026, sans jargon, avec une checklist concrète à appliquer sur 30 jours.
Pourquoi le funéraire est une cible RGPD sensible
Trois raisons cumulées font des pompes funèbres un secteur particulièrement exposé.
Première raison — les données traitées sont sensibles. Coordonnées des proches en deuil, situation familiale (héritiers, lien de parenté), informations médicales (cause du décès parfois mentionnée), données financières (capital décès, modes de paiement, situations de précarité). On est très loin du fichier client classique.
Deuxième raison — le contexte du recueil est délicat. La famille fournit ces données dans un état émotionnel intense, sans capacité de relire des mentions légales en 12 points. Le devoir d'information est plus exigeant qu'ailleurs.
Troisième raison — la sous-traitance est multiple. Logiciel métier, hébergeur, marbrerie, fleuriste, presse pour les avis, prestataires de cérémonie. Chacun peut accéder à une partie des données. Chaque relation est un risque RGPD distinct.
Le cas particulier des données du défunt
Point souvent mal compris : le RGPD s'applique uniquement aux personnes vivantes. La CNIL le précise sur sa page dédiée(cnil.fr) : les données du défunt ne sont pas couvertes par le RGPD lui-même.
Mais attention :
- Les données des proches vivants (héritiers, contacts, témoins, payeurs) sont totalement soumises au RGPD.
- La loi Informatique et Libertés française (article 85) prévoit des dispositions post-mortem (directives anticipées numériques, droit à l'oubli des héritiers).
- L'image et la voix du défunt peuvent être protégées par d'autres textes (droit de la personnalité, droit à l'image).
En pratique, la pompes funèbres traite presque toujours des données mixtes (défunt + vivants) et doit donc se conformer au RGPD pour l'ensemble.
Les 5 fondamentaux à mettre en place
1. Le registre des traitements
Document obligatoire qui liste tous vos traitements de données : recueil dossier famille, facturation, gestion paie, gestion recrutement, vidéosurveillance agence, newsletter, gestion site web, etc.
Pour chaque traitement, préciser : finalité, base légale, données collectées, durée de conservation, destinataires (internes et externes), mesures de sécurité.
2. Les bases légales
Pour chaque traitement, identifier la base légale (article 6 du RGPD) :
| Traitement | Base légale |
|---|---|
| Organiser les obsèques (recueil dossier famille) | Exécution du contrat |
| Émettre la facture, conserver les pièces | Obligation légale (comptable) |
| Suivre la qualité (avis, satisfaction) | Intérêt légitime |
| Newsletter, communication marketing | Consentement explicite |
| Photo / vidéo de cérémonie pour la famille | Consentement explicite |
3. Les mentions d'information
À afficher dans 4 endroits clés :
- Sur le devis : mention courte renvoyant à la politique de confidentialité.
- Sur le site web : politique de confidentialité complète accessible depuis le footer.
- Dans l'agence physique : affichage discret pour la vidéosurveillance le cas échéant.
- Dans la newsletter : lien de désabonnement et politique en pied d'email.
4. Les droits des familles
Le RGPD donne aux personnes 6 droits (accès, rectification, effacement, limitation, portabilité, opposition). Vous devez :
- Avoir une adresse de contact dédiée (par exemple
dpo@votreagence.frourgpd@). - Répondre dans 1 mois maximum à toute demande.
- Tenir un registre des demandes (qui, quand, quoi, comment résolu).
5. La sécurité technique
Le minimum vital :
- Mots de passe robustes + authentification à deux facteurs partout où c'est possible.
- Sauvegardes régulières et chiffrées, testées au moins une fois par an.
- Hébergement EU (idéalement HDS ou ISO 27001).
- Chiffrement des données au repos (base de données) et en transit (HTTPS partout).
- Journal d'audit des accès aux données sensibles.
Durées de conservation : le tableau de référence
| Donnée | Durée recommandée | Référence |
|---|---|---|
| Dossier famille (général) | 5 ans après obsèques | Délai de prescription civil |
| Pièces de facturation | 10 ans | Code de commerce art. L123-22 |
| Données fiscales | 6 ans | Livre des procédures fiscales |
| Vidéosurveillance agence | 30 jours max | Recommandation CNIL |
| Newsletter / contact marketing | 3 ans après dernier contact | Recommandation CNIL |
| Candidatures recrutement | 2 ans après dernier contact | Recommandation CNIL |
| Vidéo / audio cérémonie remis à famille | Selon consentement | Article 6 RGPD |
Sous-traitants : le DPA est obligatoire
Tous vos prestataires qui accèdent à des données clients sont des sous-traitants au sens du RGPD (article 28). Vous devez signer avec eux un DPA — Data Processing Agreement.
Liste typique pour une pompes funèbres :
- Logiciel métier (Serenos ou autre)
- Hébergeur du site web
- Cabinet comptable
- Marbrier sous-traité
- Fleuriste sous-traité
- Plateforme d'envoi d'emails
- Outil de signature électronique
- Imprimeur des faire-parts
- Régie publicitaire (si campagnes ciblées)
Sanctions CNIL et risques en 2026
La CNIL publie ses sanctions sur son site(cnil.fr). Pour le secteur funéraire, les motifs récurrents :
- Défaut d'information des personnes
- Durée de conservation excessive
- Sécurité insuffisante (mots de passe faibles, accès non tracés)
- Refus ou retard à répondre à une demande de droits
- Vidéosurveillance disproportionnée
Les sanctions vont de la mise en demeure (corriger sous 3 mois) jusqu'à des amendes pouvant atteindre 4 % du chiffre d'affaires mondial annuel ou 20 M€ (le plus élevé). Depuis la loi du 21 novembre 2022, la CNIL peut aussi prononcer des amendes simplifiées jusqu'à 20 000 € dans le cadre de procédures accélérées — particulièrement utilisées pour sanctionner les TPE/PME sur des manquements ciblés. En pratique, pour une pompes funèbres indépendante, les amendes effectives sont souvent de quelques milliers à quelques dizaines de milliers d'euros — ce qui reste significatif.
Comment Serenos est nativement conforme
Le RGPD a été pensé dès la conception de Serenos.
- Hébergement Frankfurt (UE), conforme aux exigences européennes.
- Chiffrement des données au repos (PostgreSQL avec encryption at rest) et en transit (HTTPS partout, certificats).
- Row-Level Security (RLS) au niveau base de données : impossible pour une agence d'accéder aux données d'une autre.
- DPA fourni : prêt à signer dès l'inscription.
- Suppression cascade : quand un dossier est supprimé, toutes les données associées (devis, factures, contacts, documents) le sont aussi proprement.
- Journal d'audit des accès et modifications.
- Politique de durée de conservation intégrée par type de données.
C'est ce qui permet à une pompes funèbres indépendante d'être immédiatement conforme sans devoir auditer 5 prestataires différents.
Serenos : RGPD natif, hébergement EU, DPA inclus
Hébergement Frankfurt, chiffrement, journal d'audit, suppression cascade des données, DPA prêt à signer. 1 mois gratuit pour démarrer en conformité.
Questions fréquentes
Les réponses aux questions les plus posées par les directeurs de pompes funèbres sur ce sujet.
Le RGPD s'applique-t-il aux données du défunt ?
Faut-il nommer un DPO dans une petite pompes funèbres ?
Combien de temps conserver les données d'un dossier famille ?
Qu'est-ce qu'un DPA et quand le signer ?
Quel hébergement pour mes données clients ?
Quelles sanctions CNIL récentes dans le secteur funéraire ?
Le marbrier sous-traitant est-il concerné par mon RGPD ?
Comment réagir à une demande d'accès ou d'effacement ?
Pour aller plus loin
Google Business, site web, SEO local, canal notaire : la stratégie complète pour faire rayonner votre pompes funèbres en 2026.
Un plan de digitalisation 30 jours, étape par étape, pour moderniser votre pompes funèbres sans bouleverser l'existant. Coûts, ROI, écueils.
Comment publier des avis de décès qui captent le trafic Google local et fidélisent les familles. Cadre RGPD, structure SEO, monétisation.