Auto-entrepreneurs : votre guide pour appliquer la loi RGPD

Auto-entrepreneurs : votre guide pour appliquer la loi RGPD

3 mai 2018

Avec l’explosion du numérique, les organisations disposent aujourd’hui de nombreux outils pour traiter les données des consommateurs. Parallèlement, la confiance des citoyens à l’égard des règles protégeant leurs données n’a jamais été aussi faible : seuls 15% estiment contrôler totalement les informations qu’ils fournissent sur Internet.

Face à l’augmentation de l’utilisation des informations personnelles et à la recrudescence des cyberattaques, les pays de l’Union Européenne ont fait front commun en créant le RGPD, un texte visant à renforcer la protection des données des citoyens.

Dans cet article, nous vous expliquons comment mettre en place le RGPD quand on est auto-entrepreneur.

La loi RGPD 2018, qu’est-ce que c’est ?

Définition RGPD

Le RGPD (Règlement Général sur la Protection des Données) est une nouvelle régulation européenne qui entrera en vigueur le 25 mai 2018. Cette loi vise à encadrer la collecte, le stockage, l’utilisation et la sécurisation des données personnelles. Elle remplace les 28 législations déjà existantes.

Le RGPD a trois grands objectifs :

  • Rassurer les consommateurs quant au traitement et à la sécurisation de leurs données personnelles et leur permettre d’avoir une plus grande maîtrise et visibilité sur les informations récoltées,

  • Sensibiliser l’ensemble des acteurs sur les opérations de collecte, stockage, traitement et protection des données personnelles,

  • Harmoniser les lois sur la confidentialité des données au niveau européen, c’est-à-dire mettre sur un même pied d’égalité juridique tous les acteurs évoluant dans l’Union Européenne.

Les grands principes de la loi RGPD

Voici quelques points essentiels à retenir pour comprendre le RGPD (liste non exhaustive) :

  • Principe de communication : l’organisation doit expliquer, en des termes simples et compréhensibles par tous, la finalité, le destinataire et le délai de conservation des données.

  • Principe de minimisation : l’organisation doit uniquement récolter les informations qui sont pertinentes par rapport à l’utilisation finale (pas de données superflues).

  • Recueil du consentement : l’organisation doit être mesure de recueillir un consentement clair des utilisateurs (pas de cases pré-cochées).

  • Droit d’accès de et portabilité : l’utilisateur doit pouvoir exercer librement son droit d’accès, de modification, de portabilité (récupération de ses données pour les conserver ou les transmettre) ainsi que son droit d’opposition à certains types de traitement (profilage).

  • Principe d’information : en cas de cyberattaque ou de perte des données, l’organisation doit avertir les utilisateurs.

Données personnelles et traitement des données

Une donnée est considérée comme personnelle dès lors qu’elle permet d’identifier directement ou indirectement une personne physique.

Il y a deux grands types de données personnelles :

  • les données personnelles « courantes » : nom, prénom, identifiant client, numéro de téléphone, mail, adresse postale, adresse IP, photo, enregistrement vocal, empreinte.

  • les données personnelles « sensibles » : informations sur la santé, les distinctions physiques et psychiques, orientation sexuelle et religieuse, opinions politiques et philosophiques, préférences syndicales.

Bon à savoir

Les données « génériques » sur les entreprises (nom, adresse, téléphone du standard, adresse mail type contact@nomentreprise.fr) ne sont pas considérées comme des données personnelles !

Le traitement de données personnelles correspond à toute opération ou série d’opérations (collecte, enregistrement, extraction, consultation, modification, diffusion, interconnexion, destruction …) visant à extraire des informations afin de les utiliser dans un but précis (ex : publicité ciblée). Le RGPD s’applique au traitement de données qu’il soit informatisé ou en version papier.

Qui est concerné par la loi RGPD ?

Le RGPD s’applique à tout organisme public ou privé qui traite de données personnelles, dès lors qu’il est établi sur le territoire de l’Union Européenne ou que son activité cible des résidents européens.

Sont donc concernés par la loi RGPD, peu importe la taille ou l’activité :

  • les grandes entreprises, les TPE et PME
  • les auto-entrepreneurs et freelances
  • les collectivités, les administrations, les associations
  • les sous-traitants qui traitent de données personnelles pour le compte de leurs clients.

Auto-entrepreneurs : comment se mettre en conformité avec la loi RGPD ?

1. Cartographie de votre situation actuelle

L’objectif est de créer un registre vous permettant d’avoir une vue d’ensemble sur les données personnelles que vous avez récoltées sur vos prospects et clients.

Dans un premier temps, listez tous les outils vous permettant de récolter des données (ex : formulaire de contact sur le site, formulaire d’inscription à la newsletter, formulaire de téléchargement pour recevoir un guide gratuit, etc.).

Puis pour chaque traitement de données, précisez ces informations :

  • la finalité de la récolte des données (ex : envoi d’une newsletter mensuelle)
  • le type de données utilisées (nom, adresse, âge…)
  • le ou les personnes(s) ayant accès aux données
  • la durée de conservation des données
  • les modalités d’encadrement et de traitement si transfert hors de l’UE

Enfin, assurez-vous que les solutions externes que vous utilisez pour exploiter ces informations personnelles respectent le RGPD (ex : solution de paiement en ligne, plateforme dédiée aux envois de SMS, plateforme pour un jeu-concours).

2. Trier les données personnelles

Pour chaque fiche créée dans votre registre, vérifiez :

  • si les données récoltées sont vraiment nécessaires en fonction de la finalité du traitement,
  • si vous traitez de données sensibles (car elles sont soumises à une réglementation spécifique),
  • si la façon dont ont été récoltés ces données était bien conforme au RGPD : si ça n’est pas le cas, vous devez renoncer à ces informations ou demander à nouveau leur consentement aux propriétaires desdites données.

3. Informer les internautes

Une fois que vous avez mis à jour vos fichiers de traitement, vous devez :

  • indiquer clairement pour chaque support permettant de collecter des données personnelles : l’objectif de la récolte, le temps de conservation, les modalités permettant au consommateur d’y accéder, le destinataire final des données.
  • permettre aux utilisateurs d’exercer leurs droits d’accès et de portabilité : prévoyez une adresse mail ou un formulaire spécifique pour les recours, intégrez un bouton visible de désabonnement dans votre newsletter…
  • Communiquer sur le cycle de vie des données (combien de temps elles seront stockées)

4. Sécuriser les données personnelles

Les conséquences d’un vol ou d’une perte de données peuvent avoir des conséquences désastreuses pour les utilisateurs et pour l’image de votre entreprise.

Vous devez tout mettre en place pour garantir leur sécurité :

  • sauvegardez vos données à plusieurs endroits sécurisés,
  • protégez vos outils de stockage par un mot de passe complexe (ordinateur, disque dur),
  • mettez à jour régulièrement vos logiciels d’antivirus et mots de passe,
  • sécurisez au maximum les comptes clients en ligne.
  • assurez vous que seules les personnes autorisées peuvent avoir accès aux infos données

Si vous subissez une violation de données et qu’elle est susceptible de porter atteinte aux droits et libertés, vous devez informer la CNIL dans les 72h ainsi que les personnes concernées.

A noter

Les sanctions prévues suite à la non-application du RGPD sont particulièrement élevées : en cas d’infraction, les amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l'entreprise.

Pour en savoir plus :

 

L’article "Auto-entrepreneurs : votre guide pour appliquer la loi RGPD"  a été noté 4.50 sur 5 sur 4 avis d'internautes.