Le RGPD
concerne-t-il
les indépendants,
auto & micro-entrepreneurs et autres freelances ?
Que l’on soit auto, micro-entrepreneur, freelance, indépendant, profession libérale, si l’on est en contact avec des informations personnelles (nom, prénom, adresse email, adresse postale, etc.), alors on a l’obligation de suivre certaines règles en matière de collecte, de stockage, d’utilisation et de sécurisation des données.
Pourquoi ? => Tout simplement car le RGPD nous oblige à assurer la protection des informations !
Le fonctionnement du RGPD pour les indépendants
Indépendants et RGPD : quels objectifs ?
Appliqué depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est un règlement de l’Union européenne encadrant la protection des données personnelles.
En tant qu’auto ou micro-entrepreneur, indépendant, profession libérale, etc.. que l’on soit en société commerciale ou non, nous sommes concernés par cette réglementation puisqu’elle définit les obligations des professionnels en matière de collecte, de stockage, de traitement et de sécurisation des données personnelles.
Nettement plus strict que les anciennes réglementations qu’il remplace, le RGPD a trois objectifs principaux.
- Renforcer le droit des consommateurs : les particuliers ont désormais une plus grande maîtrise de leurs données personnelles, notamment car ils disposent d’un droit à l’oubli et qu’ils doivent formuler un consentement clair et explicite quant à la collecte de leurs informations.
- Responsabiliser les entreprises : le but du RGPD est également de faire en sorte que les professionnels adoptent des pratiques plus vertueuses en matière de collecte et d’utilisation des données personnelles. Ils sont également sensibilisés sur la problématique du stockage et de la sécurisation, deux sujets souvent négligés.
- Adopter un cadre harmonisé : la mise en place du RGPD a également permis d’harmoniser les pratiques à l’échelle de l’Union européenne et, ainsi, de créer un cadre juridique commun, notamment en ce qui concerne la confidentialité des données.
Les notions du RGPD que l’indépendant doit connaître
La mise en place du RGPD a vu la fin des formalités listées par la CNIL (Commission Nationale de l’Informatique et des Libertés).
Conséquences ? Tout indépendant doit connaître et respecter de nouveaux principes en ce qui concerne la protection des données personnelles qu’il peut collecter.
- Le droit à l’oubli : si le particulier invoque certains motifs particuliers, l’entrepreneur indépendant peut être contraint de supprimer les données personnelles qu’il détient à propos de cette personne.
- Le droit à la portabilité : il est également possible de demander à l’indépendant de récupérer l’ensemble des informations personnelles, qu’il devra alors fournir gratuitement au format électronique (dans un certain de cas précis).
- Le consentement : avant de collecter, de stocker ou d’utiliser des données personnelles, l’entrepreneur a l’obligation d’obtenir le consentement clair et explicite du consommateur.
- Le principe de minimisation : l’entrepreneur ne peut collecter que des informations qui sont réellement utiles à l’usage qu’il en fait. Il ne doit donc pas récupérer d’informations superflues.
- L’analyse d’impact : les professionnels ont également l’obligation de décrire systématiquement les opérations de traitement qu’ils réalisent sur les informations personnelles. Ils doivent aussi être capables d’en expliquer la raison et la finalité.
Les indépendants sont bien concernés par le RGPD
En pratique, le RGPD s’adresse bien sûr en priorité aux grandes entreprises qui collectent et utilisent un volume considérable de données personnelles.
Néanmoins, tout organisme privé ou public qui est amené à conserver, gérer ou utiliser des informations personnelles doit respecter cette réglementation, y compris les auto-entrepreneurs, micro-entrepreneurs, ou indépendants, que vous ayez une marque commerciale ou pas.
Cela s’applique donc tout particulièrement au site Internet de votre entreprise (cf. cet article), mais également aux autres support permettant de collecter des données (formulaire d’inscription à la newsletter par exemple, formulaire de contact sur votre site web, etc….).
RGPD et indépendants : les règles pour être en conformité
Faire le point sur les pratiques de l’entreprise
Pour que l’entrepreneur se mette en conformité avec le RGPD, une première étape s’impose : analyser les pratiques de l’entreprise en matière de collecte et de traitement des données personnelles.
Pour cela, plusieurs gestes sont à suivre :
- listez l’ensemble des outils que vous utilisez pour collecter des informations personnelles, aussi bien électroniques que papier ;
- définissez les caractéristiques de l’utilisation de ces données (l’usage qui en est fait, la nature des informations collectées, les personnes qui y ont accès et la durée de conservation) ;
- formalisez toutes ces informations au sein d’un registre unique ;
- vérifiez que les solutions utilisées pour exploiter ces données sont conformes au RGPD (paiement en ligne, envoi de SMS, etc.).
Trier les données collectées par l’entreprise
Pour respecter le RGPD, l’entrepreneur doit également s’appuyer sur le registre qu’il a créé afin de trier les données collectées.
Les objectifs sont :
- de ne traiter que les informations pertinentes ;
- d’arrêter la collecte des informations superflues ;
- de mettre en place un processus spécifique pour les données dites « sensibles » (santé, opinion politique, orientation religieuse, particularité physique, etc.) ;
- de vérifier que les individus ont donné leur consentement pour la collecte de ces informations.
Être transparent sur la politique RGPD de l’entreprise
Dans le cadre du RGPD, l’entrepreneur a également un devoir de transparence.
Vous devez doit ainsi communiquer auprès des internautes, de ses clients et de ses prospects ses pratiques en matière de collecte et d’usage des données personnelles.
- Préciser les modalités de collecte : sur chaque support permettant de collecter des informations personnelles, l’auto-entrepreneur doit indiquer la raison de la collecte, la durée de conservation des informations, les modalités qui permettent à l’individu d’y accéder et l’organisme final ayant l’usage des données.
- Assurer les droits du consommateur : comme nous l’avons vu précédemment, l’utilisateur doit avoir la possibilité d’accéder à ses informations, de demander leur suppression ou d’annuler son consentement. L’auto-entrepreneur doit donc lui donner cette possibilité, notamment en communiquant sur les outils dont dispose le consommateur (lien de désinscription à la newsletter, formulaire de demande, adresse email de contact, etc.).
Protéger les données collectées par l’entreprise
Souvent négligée, la sécurisation des données personnelles est également l’une des obligations de l’entrepreneur induites par le RGPD.
Pour assurer leur protection, plusieurs comportements sont recommandés :
- conserver les informations en différents lieux sécurisés.
- sécuriser l’accès au stockage via une protection adaptée (mot de passe, clé de cryptage, etc.).
- vérifier que seules les personnes autorisées ont accès aux informations personnelles.
Non-conformité au RGPD : les sanctions possibles contre l’indépendant
Si l’auto-entrepreneur ne respecter pas le RGPD, il s’expose à des sanctions dont le niveau est graduel et qui dépendent de la gravité de l’infraction.
On distingue 4 étapes dans l’application des sanctions :
- étape 1 : la CNIL adresse un avertissement ou une mise en demeure
- étape 2 : l’entrepreneur reçoit une injonction à cesser immédiatement les violations constatées
- étape 3 : la CNIL ordonne une limitation ou une suspension temporaire de collecte et d’usage des données
- étape 4 : les contrevenants s’exposent à une sanction administration, dont le montant peut atteindre 4 % du chiffre d’affaires de l’entrepreneur
A NOTER : la CNIL a mis en place depuis 2023 une procédure simplifiée qui lui permet de traiter plus rapidement les plaintes que par la voie classique et donc de traiter plus de plainte.
C’est ce qui a amené la CNIL à sanctionner en 2023 un certain nombre de petits acteurs ou petites organisations comme des médecins ou des associations, parfois pour simplement un “défaut de coopération” (refus de réponse aux courriers par exemple ) .
Il est dommage de devoir payer une amende quand on se démène au quotidien pour faire rentrer du chiffre d’affaire !