Auto entrepreneur et RGPD ! Les entreprises devront, d’ici le 25 mai 2018, être « RGPD compliant », autrement dit, s’être mises en conformité avec le Règlement général sur la protection des données des résidents de l’UE (RGPD). Qu’est ce que ça veut dire ? Que faire ? Qui est concerné ? Comment s’y prendre ?
Le RGPD : définition
Le Règlement Général sur la Protection des Données est un texte européen qui renforce considérablement les droits des citoyens :
- en leur donnant une plus grande visibilité sur leurs données
- en leur apportant une meilleure maîtrise sur l’utilisation qui en est faite.
Ce règlement impacte l’ensemble des acteurs proposant des biens et services sur le marché européen, et donc bien sûrt les auto-entrepreneurs / micro-entrepreneurs !
Le RGPD : quel objectif ?
La réforme poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Les grandes lignes du règlement
Le règlement peut être résumé selon ces grands principes :
- Principe de minimisation : la collecte des données doit se cantonner au strict nécessaire. Exemple : un vendeur de produits cosmétiques n’a pas à savoir si son client est un amateur de séries télévisées.
- Recueil du consentement de l’utilisateur (dans les cas où il est obligatoire, par exemple pour le recueil de données sensibles) : il doit être effectué par type d’usage et non de manière globale. Le consentement recueilli doit être explicite.
- Mise en place d’outils permettant à l’utilisateur d’exercer son droit d’accès aux données, son droit de les rectifier, son droit de s’opposer à certains types de traitements (profilage par exemple), son droit à la portabilité des données, qui lui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand, site de streaming…) soit pour les conserver, soit pour les transférer vers autre opérateur (une autre application par exemple).
- Privacy by design : l’entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l’utilisateur : possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu’elle est allumée et enregistre les conversations
- Accountability ou auto-responsabilisation : il appartient à l’entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc.
- Security by default : l’entreprise doit prendre les mesures nécessaires pour sécuriser les données, notamment par le chiffrement ou la pseudonymisation. Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l’obligation de notifier ces failles à la personne concernée et à la Cnil. Elle doit aussi être en mesure de déceler les failles affectant ses fichiers.
- Droit à l’oubli numérique : le droit à l’effacement des données est le pendant du droit au déréférencement d’une information ou d’un lien par un moteur de recherche. La personne peut s’adresser directement au responsable de traitement dans le cas, par exemple, où l’entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées. Ce droit à l’effacement n’est pas absolu (un salarié ne peut pas exiger de son ancien employeur qu’il efface ses données immédiatement après son départ, ce n’est qu’au bout de 5 ans qu’il doit les avoir purgées pour les traitements de la paie ou le contrôle des horaires)
- Réparation des dommages et class action : Les associations dédiées à la protection des données pourront introduire des recours collectifs. L’objectif est de faire cesser le dommage causé par la violation du règlement. Un amendement examiné actuellement au parlement prévoit d’y ajouter la réparation du préjudice des personnes concernées.
- Étude d’impact : cette obligation concerne les entreprises qui peuvent être amenées à traiter des volumes de données en masse, par exemple les fabricants des technologies des voitures autonomes. Elle ne concerne pas les petites entreprises
- Amendes dissuasives en cas de manquement : l’entreprise encourt, selon le manquement constaté, jusqu’à 2 % ou 4 % du chiffre d’affaires mondial de l’entreprise dans la limite de 10 ou 20 millions d’euros.
Les autoentrepreneurs sont-ils concernés ?
Oui, toutes les entreprises sont concernées par le Règlement européen sur la protection des données (RGPD). Les autoentrepreneurs également :
- Si ils collectent, stockent, utilisent des données à caractère personnel. Dans ce cas, les entreprises sont « responsables de traitements ».
- Si ils traitent des données à caractère personnel pour le compte d’autres entreprises. Dans ce cas, les entreprises sont « sous-traitantes ».
A noter ! La CNIL élabore, en partenariat avec la Banque publique d’investissement (BPI), un guide spécialement conçu pour les TPE-PME qui sera disponible en avril 2018.
Quand dois-je me mettre en conformité ?
Le Règlement sera applicable à partir du 25 mai 2018 (article 99.2) dans tous les pays de l’Union Européenne.
Il s’applique à toutes les entreprises, les administrations et les associations qui traitent des données à caractère personnel.
Les fichiers déjà mis en oeuvre à cette date devront, d’ici là, être mis en conformité avec le Règlement.
Exemple : les fichiers clients
Les sites marchands qui traitent les données postales et bancaires des acheteurs n’ont pas à leur demander leur accord préalable s’agissant, en principe, d’un « traitement de données sans consentement ».
Mais l’entreprise doit néanmoins informer ses clients de l’existence d’un tel traitement et leur notifier leur droit d’accès et de rectification de leurs données, ainsi que leur droit d’opposition à prospection et profilage.
Mais attention, dès lors que mon fournisseur de shampoing veut me vendre des algues pour le bain, je redeviens son prospect, ce qui implique un nouveau traitement de données basé par exemple sur les intérêts légitimes de l’entreprise. Ce concept anglo-saxon, repris dans le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu’à l’exercice du droit d’opposition du prospect.
L’internaute devra néanmoins être en mesure de s’opposer au traitement de ses données (via un lien de désabonnement pas exemple). Si tel est le ce cas, l’entreprise devra effacer immédiatement les données de prospection de sa base de données. « Les entreprises vont devoir effacer beaucoup de données, mais ce n’est qu’à cette condition que la confiance avec les consommateurs pourra se recréer, assure l’avocat. Dès lors que l’entreprise nous abordera de la sorte Cher prospect, si vous acceptez de recevoir mes offres et mes conseils, cochez la case « oui ». En échange du traitement de vos données, vous aurez un contenu personnalisé. Le jour où vous souhaitez que cela cesse, il vous suffit de vous désabonner tout ira mieux ! »
Exemple : l’affichage personnalisé imposé
Les entreprises qui pistent l’internaute dès que sa souris s’aventure sur l’écran, et qui utilisent ses données de navigation pour le profiler et lui faire des « recommandations » vont devoir redresser le tir !
Le traitement de ces données de navigation est « nécessaire aux intérêts légitimes de l’entreprise », dit le RGPD, soucieux de préserver l’équilibre entre les nécessités du commerce et les droits des personnes. Mais ces dernières doivent avoir la possibilité de refuser ces recommandations et l’entreprise devra respecter ce choix. Autrement dit, le prospect se verra proposer des recommandations ou des publicités, mais celles-ci ne pourront pas prendre en compte les data qui permettent de les personnaliser. Ce sera alors de l’affichage standard et générique, comme les publicités sur les panneaux d’affichage dans les rues.
Quelles aides de la Cnil ?
La CNIL fournit un certain nombre d’outils pratiques pour accompagner les entreprises dans leur mise en conformité. les 5 étapes retenues pour les autoentrepreneurs sont celles-ci :
- CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES : Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
- PRIORISER LES ACTIONS À MENER : Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
- GÉRER LES RISQUES : Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
- ORGANISER LES PROCESSUS INTERNES Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
- DOCUMENTER LA CONFORMITÉ : Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Une infographie pour bien comprendre
La commission européenne a mis en ligne une infographie à lire pour mieux comprendre : http://ec.europa.eu/justice/smedataprotect/index_fr.htm
Textes officiels
© fédération auto entrepreneurs