Dernière mise à jour : le 21 Juillet 2021
Si on te dit « RGPD », ça te parle ? Non, ce n’est pas un gros mot, mais ces quatre lettres peuvent donner à elles seules bien des prises de tête à beaucoup d’entrepreneurs. Eh oui, les 99 articles de ce règlement sur la protection des données en Europe imposent des contraintes informatiques à toutes les entreprises et professionnels, y compris les freelances.
Si tu ne sais pas bien de quoi on parle, ni si tu es réellement concerné.e par le RGPD en tant qu’auto-entrepreneur, tu es au bon endroit. Aujourd’hui, on te propose un petit focus sur ce que cette réglementation impose dans ta vie et celle de tes clients !
Sommaire :
1. Quelles sont les règles du RGPD ?
a. Quels sont les objectifs du RGPD ?
b. C’est quoi une Donnée à Caractère Personnel (DCP) ?
c. Qui est concerné par le RGPD ?
2. Doit-on respecter le RGPD quand on est freelance ?
a. Que risque-t-on en cas de non-conformité avec le RGPD ?
b. Comment se mettre en conformité avec le RGPD en freelance ?
c. Comment accompagner ses clients dans leur mise en conformité avec le RGPD ?
Le Règlement Général pour la Protection des Données (RGPD) ou General Data Protection Régulation (GDPR) en anglais, vise à renforcer, unifier et encadrer la protection des Données à Caractère Personnel (DCP) des citoyens européens.
Et pour que tu comprennes mieux le contexte, c’est une réglementation européenne qui existe depuis 2018 et à laquelle toutes les entreprises doivent se conformer.
Le Règlement Général pour la Protection des Données réglemente la collecte et l’usage des données personnelles afin de protéger les citoyens européens, responsabiliser les organismes collecteurs d’informations personnelles et aussi harmoniser les règles au sein de l’Union Européenne.
Concrètement, il s’agit de sécuriser les informations collectées et de respecter les droits des personnes sur leurs données. En bref, ce règlement intervient pour que les entreprises, professionnels et organismes ne puissent pas faire n’importe quoi avec tes données personnelles en ligne.
Une donnée à caractère personnel, telle que spécifiée dans l’article 4 du RGPD, est une information qui permet d’identifier directement ou indirectement une personne physique. On entend par indirectes, toutes les informations qui pourraient rendre une personne identifiable en croisant une ou plusieurs données entre elles.
Les données à caractère personnel désignent donc tout ce qui est directement identifiable, comme un nom, un numéro, une localisation, un identifiant, etc. Mais aussi tout ce qui est lié à des critères d’identité physique, physiologique, économique ou même culturelle et sociale.
Le Règlement Général pour la Protection des Données sert donc à encadrer la récolte et l’utilisation de ces données par un tiers, afin qu’elles ne soient pas utilisées sans le consentement des personnes par exemple.
Eh bien... tout le monde ! Le RGPD s’applique obligatoirement à tout organisme privé ou public, européen ou non, collectant des Données à Caractère Personnel des habitants de l’Union Européenne. Sont donc concernés les entreprises, les associations, l’État, les collectivités, etc.
Tu l’auras compris : en tant qu’auto-entrepreneur, tu es donc toi aussi concerné.e par le RGPD et ses principes. Que tu sois en micro-entreprise ou sous un autre statut d’entreprise, ton activité devra obligatoirement respecter les règles du RGPD, et notamment dans le traitement des données de tes clients et prospects.
Et si ton métier consiste à gérer des projets web pour le compte de tes clients, ton travail devra bien entendu respecter les principes du RGPD. Tu es donc soumis.e à ce règlement en tant que professionnel.le, mais aussi en tant que prestataire puisque ton devoir sera d’accompagner tes clients afin que leurs projets soient conformes à la loi.
Si tu n’es pas encore convaincu.e, sache qu’il vaut mieux ne pas trop jouer avec le RGPD en tant que professionnel. Les sanctions appliquées peuvent en effet être très lourdes : de 2 à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les multinationales répondant aux infractions les plus graves !
Plus de 13 000 plaintes ont par exemple été déposées en France en 2020 auprès de la CNIL (la Commission Nationale de l’Informatique et des Libertés). Et ce ne sont pas moins de 247 contrôles effectués, 49 mises en demeure, 14 sanctions et presque 3 000 notifications de violation de données personnelles.
Sache tout de même que la CNIL a recours a divers moyens avant d’appliquer une sanction administrative à une entreprise non conforme avec le RGPD. Il peut s’agir d’un simple rappel à l’ordre, d’une suspension de flux de données ou d’une mise en demeure. Néanmoins, il n’est jamais agréable d’avoir affaire à l’une de ces notifications et il vaut mieux t’assurer tout de suite d’être en conformité avec le RGPD en tant que freelance.
Si le RGPD et la mise en conformité de ton activité te paraissent un peu flous, pas de panique ami freelance ! L’exploitation des données personnelles n’est peut-être pas ton cœur de métier, mais sache que tu peux te mettre en conformité avec la CNIL sans y passer trop de temps ni te prendre la tête.
Pour cela, assure-toi que tu réalises bien ces opérations dans le cadre de ton entreprise :
· Faire le tri des données personnelles que tu collectes et conserves : tu ne dois collecter que les informations pertinentes dont tu as réellement besoin pour le développement de ton activité, que ce soit à propos de tes clients, prospects ou visiteurs de ton site web par exemple. Chaque donnée collectée doit ainsi correspondre à un objectif et être légitime au regard de ton travail.
· Sécuriser les données personnelles dont tu disposes : à priori, en tant que freelance, tu es le ou la seule à accéder aux données personnelles que tu collectes. Mais si ce n’est pas le cas, tu dois t’assurer que les personnes avec qui tu travailles n’accèdent qu’aux données dont ils ont besoin, et ainsi protéger les données sensibles de tes clients. Bien évidemment, tu dois aussi t’assurer que les outils que tu utilises ou sur lesquels tu stockes des données personnelles d’autres personnes sont sécurisés et fiables.
· Informer les individus du traitement de leurs données : chaque fois que tu collectes des informations, que ce soit via ton site web ou un formulaire, tu devras toujours indiquer aux personnes ton objectif (pourquoi tu collectes leurs données). C’est ce qu’on appelle plus communément les mentions légales d’un site web, et tu pourras trouver des modèles disponibles sur le site de la CNIL pour rédiger les tiennes.
· Respecter le droit d’accès et de rectification des données : toutes les personnes dont tu collectes les données doivent pouvoir y accéder, les modifier ou obtenir leur suppression. Et c’est une information qui doit donc apparaître sur ton site ou tes formulaires en ligne.
Si un client te sous-traite la gestion de données personnelles, sache que vous serez donc tous les deux concernés par le RGPD et sa bonne application. D’une part, ton client devra t’indiquer tes obligations pour protéger la confidentialité des données que tu pourrais être amené.e à traiter (dans des CGV par exemple), mais tu dois aussi le conseiller et l’accompagner dans la mise en conformité de son activité.
Si tu développes un site web pour un client, tu devras par exemple t’assurer que ton travail permet à ton client d’être conforme avec le RGPD. Si tu es community manager, ton contrat devra faire mention du traitement des informations auxquelles tu auras accès.
Ce sont quelques exemples de sous-traitance de données personnelles, mais sache que la CNIL dédie un guide complet à ce sujet. Enfin, si la mise en conformité RGPD n’est pas ton cœur de métier, tu peux aussi orienter ton client vers une personne compétente sur le sujet.
Comme tu peux le voir, te conformer à la règlementation RGPD n’est pas si compliqué en freelance. En règle générale, il s’agit simplement de t’assurer que ton site web, ton blog de freelance ou encore tes formulaires répondent aux exigences du RGPD et que les données de tous tes clients soient sécurisées ! 🙂