Auto-entrepreneur et RGPD : que faire ?
Avec les nombreuses avancées faites dans le domaine du numérique, les organisations disposent aujourd’hui de nombreux outils pour analyser et traiter les données des consommateurs. En parallèle, de plus en plus de citoyens s’interrogent sur le sort et la sécurité de leurs données surtout avec la recrudescence des cyberattaques et l’augmentation des données qui transitent par le web. C’est en se basant sur ces constats que les autorités européennes ont jugé nécessaire de créer un texte visant à renforcer la protection des données des résidents européens. Ce texte, c’est le RGPD. Il ne concerne pas seulement les grandes entités manipulant des quantités importantes de données. Les petites organisations comme les auto-entrepreneurs sont également touchées. Pour aujourd’hui, DPMS va s’étendre sur une question que ces derniers se posent : comment mettre en place le RGPD quand on est auto-entrepreneur ?
Le RGPD, c’est quoi au juste ?
Le RGPD (Règlement Général sur la Protection des Données) est une nouvelle règlementation pleinement applicable depuis le 25 mai 2018. Cette loi a pour but d’encadrer la collecte, le stockage, l’utilisation et la sécurisation des données personnelles.
Quels sont ses objectifs ?
Le RGPD poursuit 3 grands objectifs :
- Rassurer les consommateurs et leur donner une plus grande maitrise ainsi qu’un plus grand pouvoir sur les informations qu’ils confient à une organisation ;
- Sensibiliser l’ensemble des acteurs réalisant des traitements de données sur l’importance de la protection des données personnelles ;
- Offrir un cadre général pour harmoniser les lois nationales portant sur la protection des données des États de l’UE.
Quels sont les grands principes du RGPD ?
Le RGPD vient imposer de nombreuses obligations dérivées de plusieurs principes. Parmi les plus importants d’entre eux, on peut citer :
- Principe de minimisation : ne récolter que les informations nécessaires à la réalisation de la finalité du traitement (non aux données superflues) ;
- Principe de communication : informer les personnes concernées sur l’usage qui sera fait de leurs données (destinataire, finalité, conservation) ;
- Recueil du consentement : les données doivent être recueillies avec le consentement exprès des personnes concernées ;
- Droit d’accès et droit à la portabilité : les personnes concernées peuvent accéder à tout moment à leurs données. Elles peuvent en demander la modification, le transfert ou la suppression. Elles peuvent également s’opposer à certains types de traitement.
- Droit à l’information : en cas de violation ou détérioration des données, le responsable du traitement doit en informer rapidement la personne concernée ;
Et les auto entrepreneurs dans tout cela ?
Les auto-entrepreneurs n’échappent pas au RGPD. Ils doivent également respecter les différents principes précités pour être en conformité avec la nouvelle législation. Cette mise en conformité passe par plusieurs étapes :
1/ Un état des lieux : inventorier les traitements de données personnelles
La première chose à faire pour se mettre en conformité avec le RGPD est de faire un état des lieux de la situation de votre système d’information. Pour ce faire, vous devez créer un registre qui permet d’avoir une vue d’ensemble sur les données personnelles de vos clients et de vos prospects. Il s’agira alors de lister l’ensemble des moyens utilisés pour la collecte des données (formulaire d’inscription à la newsletter, formulaire de téléchargement…).
Il faudra par la suite préciser les informations suivantes pour chaque traitement : finalité, type de données (nom, adresse IP, numéro de téléphone ), le nom des personnes ayant accès aux données, la durée de conservation, les mesures spécifiques prises en cas de transfert hors de l’UE.
2/ Procéder au tri des données
Une fois la cartographie des données réalisée, un triage des données s’impose. Il faudra alors vérifier :
- Si les données collectées sont nécessaires au regard de la finalité du traitement ;
- Si les données traitées sont sensibles ;
- Si la collecte des données était bien en conformité avec le RGPD : dans la négative, il faudra renoncer à utiliser les informations récoltées et demander à nouveau aux personnes concernées leur consentement.
3/ Informer les personnes concernées (principe de transparence)
Une fois les étapes précédentes réalisées, il s’agira ensuite d’informer les personnes concernées sur :
- Le sort de leurs données personnelles : les finalités de la collecte, le temps de conservation, les étapes à suivre pour y accéder, le destinataire des données ;
- Les droits qu’ils possèdent et leurs modalités d’exercice : moyen de contact, moyen de recours… ;
- Le cycle de vie des données : durée de stockage.
- Cette information devra être faite sur votre site internet ou sur vos documents de collecte.
4/ Optimiser la protection des données
Le RGPD vous oblige à mettre en place des mesures correctives pour garantir la sécurité des données personnelles que vous traitez. Cela afin d’éviter les conséquences désastreuses que peut entrainer la perte ou la violation des données de votre entreprise. Ainsi vous devez :
- Stocker vos données dans différents endroits sécurisés ;
- Protéger vos outils de stockage avec des mots de passe difficiles à casser ;
- Mettre à jour régulièrement vos logiciels et vos antivirus ;
- Optimiser la protection des comptes clients en ligne ;
- Vérifier régulièrement les droits d’accès aux données.
Pour rappel, si vous subissez une violation des données pouvant entrainer une atteinte grave aux droits et libertés, vous devez en informer la CNIL et les personnes concernées dans les 72h après la survenance de l’incident.