Pour accéder à tout le contenu, rejoignez dès aujourd'hui la Fédération des Auto-entrepreneurs !

Comme 80.000 membres avant vous, regroupez-vous et faites-vous entendre !

J'ADHERE

Auto-entrepreneur et RGPD : que faire ?


Auto entrepreneur et RGPD ! Les entreprises doivent être, depuis le 25 mai 2018, « RGPD compliant », autrement dit, en conformité avec le Règlement général sur la protection des données des résidents de l'UE (RGPD). Qu'est-ce que ça veut dire ? Que faire ? Qui est concerné ? Comment s'y prendre ?

Le RGPD : définition

Le Règlement Général sur la Protection des Données est un texte européen qui renforce considérablement les droits des citoyens :

  • en leur donnant une plus grande visibilité sur leurs données
  • en leur apportant une meilleure maîtrise sur l'utilisation qui en est faite.

Ce règlement impacte l'ensemble des acteurs proposant des biens et services sur le marché européen, et donc bien sûrt les auto-entrepreneurs / micro-entrepreneurs !

Le RGPD : quel objectif ?

La réforme poursuit trois objectifs :

  • renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Les grandes lignes du règlement 

Le règlement peut être résumé selon ces grands principes :

  • Principe de minimisation : la collecte des données doit se cantonner au strict nécessaire. Exemple : un vendeur de produits cosmétiques n'a pas à savoir si son client est un amateur de séries télévisées.
  • Recueil du consentement de l'utilisateur (dans les cas où il est obligatoire, par exemple pour le recueil de données sensibles) : il doit être effectué par type d'usage et non de manière globale. Le consentement recueilli doit être explicite.
  • Mise en place d'outils permettant à l'utilisateur d'exercer son droit d'accès aux données, son droit de les rectifier, son droit de s'opposer à certains types de traitements (profilage par exemple), son droit à la portabilité des données, qui lui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand, site de streaming…) soit pour les conserver, soit pour les transférer vers autre opérateur (une autre application par exemple).
  • Privacy by design : l'entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l'utilisateur : possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu'elle est allumée et enregistre les conversations
  • Accountability ou auto-responsabilisation : il appartient à l'entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc.
  • Security by default : l'entreprise doit prendre les mesures nécessaires pour sécuriser les données, notamment par le chiffrement ou la pseudonymisation. Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l'obligation de notifier ces failles à la personne concernée et à la Cnil. Elle doit aussi être en mesure de déceler les failles affectant ses fichiers.
  • Droit à l'oubli numérique : le droit à l'effacement des données est le pendant du droit au déréférencement d'une information ou d'un lien par un moteur de recherche. La personne peut s'adresser directement au responsable de traitement dans le cas, par exemple, où l'entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées. Ce droit à l'effacement n'est pas absolu (un salarié ne peut pas exiger de son ancien employeur qu'il efface ses données immédiatement après son départ, ce n'est qu'au bout de 5 ans qu'il doit les avoir purgées pour les traitements de la paie ou le contrôle des horaires)
  • Réparation des dommages et class action : Les associations dédiées à la protection des données pourront introduire des recours collectifs. L'objectif est de faire cesser le dommage causé par la violation du règlement. Un amendement examiné actuellement au parlement prévoit d'y ajouter la réparation du préjudice des personnes concernées.
  • Étude d'impact : cette obligation concerne les entreprises qui peuvent être amenées à traiter des volumes de données en masse, par exemple les fabricants des technologies des voitures autonomes. Elle ne concerne pas les petites entreprises
  • Amendes dissuasives en cas de manquement : l'entreprise encourt, selon le manquement constaté, jusqu'à 2 % ou 4 % du chiffre d'affaires mondial de l'entreprise dans la limite de 10 ou 20 millions d'euros.

Les auto-entrepreneurs sont-ils concernés ?

Oui, toutes les entreprises sont concernées par le Règlement européen sur la protection des données (RGPD). Les autoentrepreneurs également :

  • S'ils collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les entreprises sont "responsables de traitements".
  • S'ils traitent des données à caractère personnel pour le compte d'autres entreprises. Dans ce cas, les entreprises sont "sous-traitantes".

Quand dois-je me mettre en conformité ?

Le Règlement est applicable à partir du 25 mai 2018 (article 99.2) dans tous les pays de l'Union européenne.
Il s'applique à toutes les entreprises, les administrations et les associations qui traitent des données à caractère personnel.
Les fichiers déjà mis en oeuvre à cette date doivent être en conformité avec le Règlement.

Un guide pour les TPE : faites simple !

La CNIL a élaboré, en partenariat avec la Banque publique d'investissement (BPI), un guide spécialement conçu pour les TPE-PME.

Les autoentrepreneurs doivent retenir 4 choses :

  • Recensez vos fichiers : Le registre listant vos traitements de données vous permettra d’avoir une vision d’ensemble. Identifiez les activités principales de votre entreprise qui nécessitent la collecte et le traitement de données (exemples : statistiques de ventes, gestion des clients prospects, etc.).
  • Faites le tri : Pour chaque fiche de registre créée, vérifiez que les données que vous traitez sont nécessaires à vos activités, que vous ne traitez aucune donnée dite « sensible » ou, si c’est le cas, que vous avez bien le droit de les traiter et que vous ne conservez pas vos données au-delà de ce qui est
    nécessaire.
  • Respectez les droits des personnes : à chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit comporter des mentions d’information. Vérifiez que l’information comporte notamment les éléments suivants :
    • pourquoi vous collectez les données (« la finalité » ; par exemple pour gérer l’achat en ligne du consommateur) ;
    • ce qui vous autorise à traiter ces données (le « fondement juridique » : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
    • qui a accès aux données (indiquez des catégories : un prestataire, etc.) ;
    • combien de temps vous les conservez (exemple : « 5 ans après la fin de la relation contractuelle ») ;
    • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits (via leur espace personnel sur votre site internet, par un message sur une adresse email dédiée, par un courrier postal à un service identifié) ;
    • si vous transférez des données hors de l’Union européenne (précisez le pays et l’encadrement juridique qui maintient le niveau de protection des données).
  • Sécurisez les données : garantissez l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. Les mesures à prendre, informatiques ou physiques, dépendent de la sensibilité des données que vous traitez et des risques qui pèsent sur les personnes en cas d’incident. Différentes actions doivent être mises en place : mises à jour de vos antivirus et logiciels, changement régulier des mots de passe et utilisation de mots de passe complexes, ou chiffrement de vos données dans certaines situations. En cas de perte ou vol d’un outil informatique, il sera plus difficile pour un tiers d’y accéder.

En bref, il s'agit de tenir un registre simple des données collectées, de trier l'utile du superflux, de ne pas collecter des données sans autorisation, et de sécuriser vos bases de données.

Les données sensibles : c'est quoi ?

Certaines données ou certains types de traitements nécessitent une vigilance particulière :

Lorsque vous traitez certains types de données à risque

Sont notamment concernées les données dites « sensibles » :

  • révélant l’origine prétendument raciale ou ethnique ;
  • portant sur les opinions politiques, philosophiques ou religieuses ;
  • relatives à l’appartenance syndicale ;
  • concernant la santé ou l’orientation sexuelle ;
  • génétiques ou biométriques.

Les données d’infraction ou de condamnation pénale font également l’objet de règles particulières. Ces données ne peuvent être utilisées que sous certaines conditions strictement encadrées par la loi Informatique et libertés et par le RGPD.

Lorsque votre traitement a pour objet ou pour effet :

  • l’évaluation d’aspects personnels ou notation d’une personne (exemple : scoring financier) ;
  • une prise de décision automatisée ;
  • la surveillance systématique de personnes (exemple : télésurveillance) ;
  • le traitement de données sensibles (exemple : santé, biométrie, etc.) ;
  • le traitement de données concernant des personnes vulnérables (exemple : mineurs) ;
  • le traitement à grande échelle de données personnelles ;
  • le croisement d’ensembles de données ;
  • des usages innovants ou l’application de nouvelles technologies (exemple : objet connecté) ;
  • l’exclusion du bénéfice d’un droit, d’un service ou contrat (exemple : liste noire).

Si vos traitements de données répondent à au moins 2 de ces 9 critères, vous devez, a priori, conduire une analyse d’impact sur la protection des données (PIA : Privacy Impact Assesment), avant de commencer les opérations de traitement.

Exemple : les fichiers clients

Les sites marchands qui traitent les données postales et bancaires des acheteurs n'ont pas à leur demander leur accord préalable s'agissant, en principe, d'un « traitement de données sans consentement ».

Mais l'entreprise doit néanmoins informer ses clients de l'existence d'un tel traitement et leur notifier leur droit d'accès et de rectification de leurs données, ainsi que leur droit d'opposition à prospection et profilage.

Mais attention, dès lors que mon fournisseur de shampoing veut me vendre des algues pour le bain, je redeviens son prospect, ce qui implique un nouveau traitement de données basé par exemple sur les intérêts légitimes de l'entreprise. Ce concept anglo-saxon, repris dans le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu'à l'exercice du droit d'opposition du prospect.

L'internaute devra néanmoins être en mesure de s'opposer au traitement de ses données (via un lien de désabonnement pas exemple). Si tel est le ce cas, l'entreprise devra effacer immédiatement les données de prospection de sa base de données. « Les entreprises vont devoir effacer beaucoup de données, mais ce n'est qu'à cette condition que la confiance avec les consommateurs pourra se recréer, assure l'avocat. Dès lors que l'entreprise nous abordera de la sorte Cher prospect, si vous acceptez de recevoir mes offres et mes conseils, cochez la case "oui". En échange du traitement de vos données, vous aurez un contenu personnalisé. Le jour où vous souhaitez que cela cesse, il vous suffit de vous désabonner tout ira mieux ! »

Exemple : l'affichage personnalisé imposé

Les entreprises qui pistent l'internaute dès que sa souris s'aventure sur l'écran, et qui utilisent ses données de navigation pour le profiler et lui faire des « recommandations » vont devoir redresser le tir !

Le traitement de ces données de navigation est « nécessaire aux intérêts légitimes de l'entreprise », dit le RGPD, soucieux de préserver l'équilibre entre les nécessités du commerce et les droits des personnes. Mais ces dernières doivent avoir la possibilité de refuser ces recommandations et l'entreprise devra respecter ce choix. Autrement dit, le prospect se verra proposer des recommandations ou des publicités, mais celles-ci ne pourront pas prendre en compte les data qui permettent de les personnaliser. Ce sera alors de l'affichage standard et générique, comme les publicités sur les panneaux d'affichage dans les rues.

Une infographie pour bien comprendre

La commission européenne a mis en ligne une infographie à lire pour mieux comprendre : https://ec.europa.eu/justice/smedataprotect/index_en.htm

Textes officiels

-