Blog

RGPD et pompes funèbres : quelles sont vos obligations ?

Rédigé par Eliott RUBINI | 15/07/2026

Un dossier funéraire contient souvent plus d'informations personnelles qu'on ne l'imagine : état civil du défunt, situation familiale, coordonnées des proches, documents administratifs, parfois un numéro de sécurité sociale ou des données de santé. Pour une agence de pompes funèbres, ces informations ne sont pas de simples champs à remplir dans un logiciel : ce sont des données que la loi encadre strictement, et dont la responsabilité repose, en premier lieu, sur l'agence elle-même.

Le RGPD (Règlement Général sur la Protection des Données) s'applique à toutes les entreprises qui traitent des données personnelles, y compris les plus petites structures funéraires. Voici ce qu'il faut vraiment savoir.

1° Pourquoi le secteur funéraire traite des données particulièrement sensibles

Au quotidien, une agence de pompes funèbres collecte et manipule des informations très personnelles : état civil du défunt, situation familiale, coordonnées des proches, documents administratifs, et parfois des données encore plus sensibles comme un numéro de sécurité sociale, des données de santé (port d'un pacemaker, par exemple) ou des préférences cultuelles.

Ce n'est pas un sujet à traiter avec inquiétude, mais avec rigueur : ces données méritent la même attention que celles d'un cabinet médical ou d'un notaire, et la loi le prévoit explicitement.

2° Responsable de traitement, sous-traitant : qui est responsable de quoi ?

C'est le point le plus mal compris du RGPD dans le funéraire : utiliser un logiciel conforme ne transfère pas votre responsabilité légale. Le RGPD distingue deux rôles bien précis.

Votre agence : responsable de traitement

  • Vous décidez pourquoi et comment les données sont utilisées.
  • Vous restez responsable devant la CNIL et devant les familles.
  • Vous devez tenir votre registre des traitements, y compris si votre structure est petite.

Votre logiciel funéraire (et tout autre prestataire numérique) : sous-traitant, au sens de l'article 28 du RGPD

  • Il traite les données uniquement pour exécuter le contrat qui vous lie.
  • Il applique vos instructions, jamais une autre finalité.
  • Il doit vous assister pour que vous puissiez honorer vos propres obligations.

En clair : votre prestataire vous couvre sur sa part du travail, mais la responsabilité légale de premier niveau reste la vôtre.

3° Les 3 vérifications concrètes à faire dans votre agence, dès maintenant

  1. Le registre des traitements : un document qui liste les données que vous traitez, pourquoi, et combien de temps vous les conservez. Il est obligatoire, même pour une petite agence.
  2. Le contrat avec vos prestataires : vérifiez que votre contrat avec votre logiciel funéraire (et tout autre prestataire ayant accès à des données personnelles) précise clairement les engagements RGPD de chacun.
  3. L'information et le consentement des familles : les familles doivent être informées de l'usage de leurs données et pouvoir exercer leurs droits : accès, rectification, suppression.

4° Le cas particulier de vos interfaces digitales

Si votre agence propose un site internet, un espace hommage ou une boutique en ligne accessible aux familles, ces interfaces collectent elles-mêmes des données, ce qui implique une gestion rigoureuse du consentement :

  • Un bandeau cookies, permettant d'accepter ou de refuser les cookies non essentiels avant tout dépôt.
  • Une mention légale informative au moment de la collecte (commande, dépôt d'hommage, contact) : finalité, responsable, droits, contact du DPO.
  • Une politique de confidentialité accessible, détaillant les traitements, les bases légales et les durées de conservation.

Cas particulier de l'espace hommage : les coordonnées d'un visiteur qui dépose un message de condoléances ne doivent être collectées que pour informer la famille d'une réponse et cette finalité doit être indiquée au moment de la saisie.

5° Les droits des familles : accès, rectification, effacement

Toute famille ou tout proche peut demander à accéder à ses données, les faire corriger, ou les faire supprimer. Le RGPD impose un traitement de ces demandes dans un délai maximal d'un mois (extensible dans certains cas complexes).

Une nuance propre au funéraire : les données d'un espace hommage relèvent souvent d'une conservation sans limitation de durée, sauf demande expresse contraire, leur nature mémorielle le justifie. C'est une exception à connaître, pas une faille : elle doit rester documentée et transparente pour les familles.

6° Ce qu'il faut éviter au quotidien

La plupart des manquements RGPD dans le funéraire ne viennent pas d'un logiciel non conforme, mais de pratiques internes à corriger :

  • Des fichiers Excel non protégés, listant des familles ou des défunts, stockés sans mot de passe ou partagés par clé USB.
  • Des données sensibles envoyées par e-mail simple, numéro de sécurité sociale ou documents administratifs transmis sans chiffrement.
  • Des comptes partagés entre collaborateurs, qui empêchent de savoir qui a consulté quoi.

En cas de manquement, c'est votre entreprise, responsable de traitement, qui peut être mise en cause, avec des sanctions possibles de la CNIL, même si l'origine du problème est une habitude de travail plutôt qu'un outil défaillant.

7° En cas d'incident : ce que la loi vous impose

Si une violation de données survient (piratage, perte d'un fichier, envoi à la mauvaise personne...), le RGPD impose au responsable de traitement :

  • Une notification à la CNIL sous 72 heures, si la violation présente un risque pour les droits des personnes concernées.
  • Une information des personnes concernées, sans délai, si le risque est élevé.

Un bon prestataire technique doit vous alerter suffisamment vite pour que vous puissiez honorer ce délai de 72 heures, c'est un point à vérifier avant de signer un contrat, pas après un incident.

8° Et les nouvelles fonctionnalités d'intelligence artificielle ?

De plus en plus de logiciels funéraires intègrent des fonctionnalités d'intelligence artificielle : génération de fiche défunt à partir du certificat de décès, retouche de photos pour l'avis de décès, assistants de rédaction. Ces outils sont utiles, mais posent une question RGPD spécifique : que devient la donnée envoyée à ces outils ?

Avant d'adopter ce type de fonctionnalité, il est légitime de demander à votre prestataire si les données transmises sont conservées ou réutilisées pour entraîner des modèles, et si elles restent couvertes par les mêmes garanties contractuelles que le reste de vos traitements.

9° Pour aller plus loin

Ces obligations peuvent sembler nombreuses, mais elles se résument à trois réflexes : savoir ce que vous traitez, savoir avec qui vous le partagez, et savoir informer les familles. Le reste relève de bonnes pratiques du quotidien, pas d'une expertise juridique.

Chez Simplifia, on a organisé un webinar dédié à ces questions, animé par notre Délégué à la Protection des Données. Si vous voulez faire le point sur ces obligations dans votre agence, notre DPO reste disponible à dpo@simplifia.fr.