Rechercher
Fermer ce champ de recherche.

Autoentrepreneur et RGPD : tout ce qu’il faut savoir et faire pour être en règle

Sommaire

Les entreprises doivent être, depuis le 25 mai 2018, en conformité avec le Règlement général sur la protection des données des résidents de l’Union européenne (RGPD). Est concerné tout organisme, public ou privé, établi dans l’Union européenne ou dont l’activité cible des résidents européens, que ce soit pour son propre compte ou pour le compte d’une entreprise et quel que soit le lieu de traitement des données. Les autoentrepreneurs sont donc aussi concernés.

Mais que signifie précisément le RGPD ? Que faire ? Comment s’y prendre ? La FNAE vous propose de faire le point sur vos droits et obligations.

Protection des données : définitions

Petit glossaire pour mieux comprendre ce qui est en jeu autour des données personnelles, de leur utilisation et de la réglementation.

Les données personnelles

Une donnée personnelle est définie, selon la CNIL (Commission Nationale de l’Informatique et des Libertés en charge réguler les données personnelles), comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Donc entrent dans la vaste catégorie des données personnelles celles qui permettent d’identifier une personne, par une seule donnée ou par croisement de plusieurs données :

  • de façon directe : nom, prénom, photo… ;
  • de façon indirecte : numéro de téléphone, adresse électronique, numéro de carte d’identité, numéro de sécurité sociale, adresse IP, voix, profil sur un réseau social ou encore éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale,…

Les données sensibles : c’est quoi ?

Certaines données sont dites « sensibles » :

  • elles révèlent l’origine prétendument raciale ou ethnique ;
  • elles portent sur les opinions politiques, philosophiques ou religieuses ;
  • elles sont relatives à l’appartenance syndicale ;
  • elles concernent la santé ou l’orientation sexuelle ;
  • elles contiennent des informations génétiques ou biométriques.

Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières. Ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par le RGPD.

Le traitement des données

Il concerne toute opération portant sur des données personnelles (et donc les données d’entreprises ne sont pas concernées), qu’il s’agisse de les collecter, les enregistrer, les trier, les conserver, les modifier, les croiser, les transmettre, les extraire, les publier… Que les données sont informatisées ou pas (mailing, newsletter, publicité ciblée virtuelle, courrier tout comme des cookies de navigation…).

Le RGPD

Le Règlement général sur la protection des données est un texte européen qui renforce les droits des citoyens en leur donnant une plus grande visibilité sur leurs données et en leur apportant une meilleure maîtrise sur l’utilisation qui en est faite. Ce règlement responsabilise l’ensemble des acteurs proposant des biens et services sur le marché européen, et donc, bien sûr, aussi les microentrepreneurs amenés à traiter des données personnelles, même de façon ponctuelle (par exemple pour une campagne mail) !

RGPD : quels sont les droits des personnes ?

Les personnes dont les données sont collectées bénéficient de droits, qu’elles peuvent exercer auprès du responsable de traitement (dont le nom et l’adresse doivent figurer sur les sites visités et dans les contrats conclus). 

Droit d’accès

Les personnes dont les informations sont collectées et traitées peuvent demander l’accès aux données les concernant à tout moment et sans limitation.

Droit de rectification

Toute personne a le droit de demander la rectification des informations inexactes ou incomplètes ayant été collectées.

Droit d’opposition

Les personnes dont les données sont collectées et traitées peuvent s’opposer à leur utilisation par un organisme pour un objectif précis pour « des raisons tenant à votre situation particulière ». En cas de prospection commerciale, vous pouvez vous opposer auprès de l’organisme sans avoir à en justifier la raison.

Droit à la portabilité

Toute personne peut récupérer, sous une forme réutilisable, les données qu’elle a fournies, et les transférer ensuite à un tiers (réseau social par exemple).

Droit à l’effacement

Toute personne a droit à l’effacement de ses données et au déréférencement (droit de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms), en s’adressant directement au responsable du traitement. 

Droit à notification

En cas de violation de la sécurité des données comportant un risque élevé pour les personnes, le responsable du traitement doit les avertir rapidement, sauf dans certaines situations (données déjà chiffrées par exemple). Il doit également le notifier à la Cnil (Commission nationale de l’informatique et des libertés) dans les 72 heures.

Par exemple, une banque qui serait victime d’une intrusion dans son système informatique clients a le devoir d’informer ces derniers que des tiers ont pu accéder à leurs données personnelles.

Droit à réparation du dommage

Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement européen peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son préjudice.

Recours collectif

Les associations concernées par la protection des droits et libertés des personnes en matière de protection des données peuvent introduire des recours collectifs. Les victimes peuvent demander des dommages et intérêts en cas de violation des données devant les juridictions civiles ou pénales.

Quelles sont les grandes règles du RGPD ?

Outre l’instauration de droits pour les personnes dont les données dont collectées, le RGPD s’appuie sur quelques grands principes. 

La finalité 

La collecte et le traitement de données doivent répondre à un objectif spécifique, évidemment légal et légitime, pertinent et transparent et limité à cet objectif. Les données doivent être exactes, tenues à jour. Exemple : un vendeur de produits cosmétiques n’a pas à savoir si son client est un amateur de séries télévisées !

Le consentement

Le professionnel qui utilise des données personnelles doit généralement recueillir le consentement explicite de la personne dont il collecte les données, et ce, par type d’usage et non de manière globale. 

Il existe quelques exceptions, en particulier dans le cadre  de l’exécution ou la préparation d’un contrat avec la personne ou lorsque le traitement est imposé par un texte de loi.

Une conservation limitée dans le temps

La conservation des données doit être temporaire. Les données doivent à terme être supprimées ou rendues anonymes pour un traitement statistique.

Privacy by design

Ce terme Privacy by design implique que l’entreprise intègre la protection de la vie privée dès la conception du logiciel ou du service et mette en place les outils adéquats pour préserver la liberté de choix de l’utilisateur : ainsi, par exemple, la possibilité de cocher ou décocher la géolocalisation dans un smartphone ou un bouton sur une enceinte connectée signalant qu’elle est allumée et enregistre les conversations. Une conception qui vise à répondre aux problématiques principales du Big Data telle la fuite massive de données personnelles liée à la collecte automatisée.

Accountability ou auto-responsabilisation

Il appartient à l’entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc.

Sécuriser les données

L’entreprise doit prendre les mesures nécessaires pour sécuriser les données, notamment par le chiffrement ou la pseudonymisation (rendre les données anonymes). Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l’obligation de notifier ces failles à la personne concernée et à la Cnil. Elle doit aussi être en mesure de déceler les failles affectant ses fichiers.

Étude d’impact

L’analyse d’impact sur la vie privée est requise lorsque le traitement des données est susceptible de porter atteinte aux droits et aux libertés des personnes. 

Des sanctions possibles

Amendes dissuasives en cas de manquement : l’entreprise encourt, selon le manquement constaté, jusqu’à 2 % ou 4 % du chiffre d’affaires mondial de l’entreprise dans la limite de 10 ou 20 millions d’euros.

Auto-entrepreneurs et respect du RGPD

Toutes les entreprises sont concernées par le Règlement européen sur la protection des données. Les autoentrepreneurs également :

  • s’ils collectent, stockent, utilisent des données à caractère personnel : dans ce cas, les entreprises sont « responsables de traitements » ;
  • s’ils traitent des données à caractère personnel pour le compte d’autres entreprises (sous-traitance).
La CNIL a élaboré, en partenariat avec la Banque publique d’investissement (BPI), un guide spécialement conçu pour les TPE-PME.

En tant qu’autoentrepreneur, vous avez 4 étapes à activer pour être en conformité :

Tenez un registre

La tenue d’un registre de traitement des données est obligatoire pour tout organisme, quelle que soit leur taille, qui traite des données personnelles. Cette obligation est cependant allégée pour les petites entreprises sauf si le traitement des données à caractère personnel répond aux critères suivants :

  • il s’agit d’une activité régulière
  • il représente une menace pour les droits et libertés des personnes concernées
  • il concerne des données sensibles.

Téléchargez le modèle de registre simplifié.

Faites le tri

Pour chaque fiche de registre créée, vérifiez que les données que vous traitez sont nécessaires à vos activités, que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter et que vous ne conservez pas vos données au-delà de ce qui est nécessaire ;

Respectez les droits des personnes

A chaque fois que vous collectez des données personnelles, quel que soit le support utilisé (formulaire, questionnaire, etc.) vous devez inclure une information qui précise :

  • pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
  • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • qui a accès aux données (indiquez des catégories : un prestataire, etc.) ;
  • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
  • si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).

Sécurisez les données collectées

Garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident.

Différentes actions doivent être mises en place comme :

  • mettre à jour vos antivirus et logiciels ;
  • changer régulièrement les mots de passe ;
  • utiliser des mots de passe complexes, ou chiffrer vos données : en cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

Si vous utilisez un site internet pour communiquer et vendre, vérifiez les points suivants : 

  • l’ensemble du parcours de vente doit être en https ;
  • imposez à vos clients un mot de passe complexe lorsqu’ils créent leur compte ;
  • ne transmettez pas de données personnelles par email ;
  • ne conservez pas les coordonnées bancaires de vos clients ;  
  • sécurisez la transaction bancaire. 
Petit guide à l’usage des entreprises qui communiquent ou vendent en ligne par la CNIL et bpifrance. 
Consultez le petit récapitulatif de la CNIL avec les 6 réflexes à adopter.

En bref, il s’agit de tenir un registre simple des données collectées, de trier l’utile du superflu, de ne pas collecter de données sans autorisation, de sécuriser vos bases de données.

Une analyse d’impact dans certaines situations

Si vos traitements de données répondent à au moins 2 des 9 critères listés ci-dessous, une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment) est requise avant de commencer les opérations de traitement :

  • l’évaluation d’aspects personnels ou la notation d’une personne (exemple : scoring financier) ;
  • une prise de décision automatisée ;
  • la surveillance systématique de personnes (exemple : télésurveillance) ;
  • le traitement de données sensibles (exemple : santé, biométrie, etc) ;
  • le traitement de données concernant des personnes vulnérables (exemple : les mineurs) ;
  • le traitement à grande échelle de données personnelles ;
  • le croisement d’ensembles de données ;
  • des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
  • l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).
Infographie récapitulative mise en ligne par la Commission européenne : https://ec.europa.eu/justice/smedataprotect/index_en.htm

Textes officiels

Les grandes thématiques
Articles récents
Les fiches pratiques
Dossiers de fond

Sommaire