En tant qu’indépendant vous êtes tenu à un ensemble d’obligations que vous ne pouvez pas déléguer puisque vous êtes votre propre patron. Cela implique notamment de respecter les règles établies depuis 2018 par le Règlement Général sur la Protection des Données (RGPD). Destiné à protéger les données des utilisateurs, le règlement européen s’applique à toutes les entreprises, y compris les travailleurs indépendants. Quelles règles RGPD s’appliquent aux indépendants et comment bien les respecter ? Voici un tour d’horizon pour tout comprendre.
Rappel des contours du RGPD
Le Règlement Général sur la Protection des Données (RGPD) a fait trembler la sphère des entreprises lors de sa mise en application le 25 mai 2018. Ce texte promulgué par l’Union Européenne est destiné à renforcer le niveau de protection des données personnelles des consommateurs et utilisateurs naviguant sur Internet. Jusqu’à cette date aucun texte général ne s’appliquait en Europe concernant l’utilisation et le stockage des données personnelles sur Internet.
L’intégralité des entreprises doit se conformer aux règles RGPD. Cela inclue donc forcément les petites entreprises individuelles à l’instar des artisans, commerçants et professions libérales. Dès l’instant où le professionnel a connaissance de données personnelles de clients, il doit en assurer la protection conformément au règlement européen. Cela évite tout type de déconvenue pour les utilisateurs, comme le vol de données personnelles consécutif à un acte de malveillance à l’encontre d’une entreprise. Comme une usurpation d’identité, le vol de données bancaires ou encore le phishing. Pour éviter un hacking de la sorte les entreprises sont tenues de sécuriser les données utilisateurs au maximum.
RGPD : obligation de protection des données utilisateurs par les indépendants
Les indépendants sont des professionnels qui ont accès à certaines données privées de la part des utilisateurs. Au même titre que tout autre professionnel ils doivent protéger au maximum l’accès aux données personnelles, qu’elles soient sous format informatique ou papier. Cela s’exprime au quotidien, notamment par des actions de tous les jours. Comme verrouiller son poste de travail une fois parti du bureau ou bien ne pas divulguer son mot de passe. Ce dernier doit d’ailleurs être changé régulièrement et être suffisamment complexe (8 caractères au minimum avec une majuscule, une minuscule et un chiffre). Il est recommandé de le changer deux fois par an, voire davantage au besoin.
Pour protéger au mieux les données de leurs utilisateurs, les indépendants sont grandement incités à utiliser des antivirus reconnus de tous pour leur haut niveau de qualité ainsi qu’un système d’exploitation sécurisé. Il convient également de ranger tous les dossiers dans un lieu sûr, à l’abri des regards indiscrets. Seuls les collaborateurs proches que vous avez choisis au préalable peuvent avoir accès aux dossiers sensibles des utilisateurs et sont tenus à une obligation de confidentialité (clause prévue dans les contrats de travail).
Règles de collecte des informations clientèle
Selon la Commission Nationale de l’Informatique et des Libertés (CNIL) les informations collectées auprès de vos clients sont uniquement les données pertinentes, adéquates et limitées à l’exercice de votre activité professionnelle. Autrement dit, vous êtes tenus de conserver uniquement les données dont vous avez besoin dans le cadre de votre mission au quotidien. Toutes les autres informations doivent être détruites. En fonction des pratiques de votre profession, les informations doivent être supprimées au bout d’un certain temps de conservation. Par exemple, les médecins peuvent conserver les dossiers patients 20 ans à compter de la date de dernière consultation. Passé ce délai ils sont tenus de les détruire.
En outre, les données personnelles doivent être transmises de manière sécurisée, notamment via une boîte mail cryptée et professionnelle. Vous êtes également tenu d’en sécuriser l’accès en l’ouvrant à un nombre restreint et nécessaire de collaborateurs.
Protection des données et mots de passe en tant que freelance
En tant que professionnel indépendant vous êtes votre propre patron. Ainsi, il vous incombe d’assurer le respect du RGPD et de tous les éléments prévus par le règlement. Protéger vos données nécessite de mettre en place un certain nombre d’actions et de bonnes pratiques. Cela passe notamment par un cryptage suffisant de votre boîte mail et de tout votre système informatique. Cela, surtout si vous stockez des informations sensibles sur vos outils informatiques (ordinateur portable ou smartphone par exemple), pouvant potentiellement être dérobées ou perdues.
Il en va de même avec vos mots de passe que vous devez sécuriser au maximum. Un gestionnaire de mots de passe 100 % sécurisé peut vous aider au quotidien si vous avez des difficultés à tous les retenir. Il est conseillé de ne pas utiliser le même mot de passe pour tous vos comptes.
RGPD, la confidentialité dès la phase de conception
En tant qu’indépendants vous devez obligatoirement intégrer les règles de confidentialité dès l’étape de conception. Il s’agit d’assurer la confidentialité des informations fournies par les utilisateurs dès l’instant où vous avez le projet de concevoir votre produit ou votre service. Cette obligation s’applique à tout type d’élément, comme un site web, une newsletter, un logiciel recueillant des informations sensibles ou bien encore une application nouvellement mise en place. Le produit ou le service créé doit intégrer cette notion de confidentialité à chaque étape, de sa phase de conception à sa gestion quotidienne. Les outils marketing utilisés dans votre entreprise prennent également en compte cet impératif, ce qui passe notamment par le choix de vos logiciels de travail.
Obligation de conserver une trace du respect des règles RGPD
En tant qu’indépendant vous respectez toutes les règles édictées par le règlement européen sur la protection des données. Pour prouver votre bonne foi en cas de contrôle, il est impératif de conserver la trace des moyens mis en œuvre pour protéger les données utilisateurs. Pour y parvenir il est conseillé de tout répertorier de manière transparente dans votre registre des activités de traitement. Vous devez y indiquer des éléments variés, comme :
- une évolution des techniques utilisées pour protéger vos données,
- les dates auxquelles vous avez changé vos mots de passe,
- les objectifs de collecte de vos données,
- les délais de conservation des données et les dates de suppression.
Bon à savoir : dorénavant vous n’avez pas de démarche particulière à réaliser auprès de la CNIL pour la déclaration du traitement des données personnelles. Il vous suffit simplement de tenir votre registre à jour pour le montrer à la personne compétente en cas de contrôle. L’action de la CNIL suit toujours un premier contrôle (en ligne ou sur place). A la suite du contrôle, l’agent de la CNIL dresse un procès-verbal reprenant les éléments constatés et les actions menées. Le contrôle peut également être demandé sur pièces.
La CNIL, l’organe de contrôle de l’application du RGPD
En France, la CNIL est chargée de vérifier que les entreprises appliquent bien les règles inscrites au RGPD. Fondée le 6 janvier 1978, la Commission Nationale de l’Informatique et des Libertés est un organe administratif indépendant qui travaille au quotidien au nom de l’État sans pour autant être placé sous son autorité. Composée de 18 membres nommés ou élus, cette autorité surveille également les indépendants en veillant à ce qu’ils appliquent bien les règles du RGPD sans commettre d’abus ni d’utilisation frauduleuse. Cela en conformité avec les règles françaises et européennes en vigueur.
Sanctions en cas de non-respect des règles RGPD en tant qu’indépendant
Quels sont les risques encourus si vous ne respectez pas les règles du RGPD en tant qu’indépendant ? En pratique, vous risquez de devoir payer une amende d’un montant plus ou moins conséquent si vous ne vous conformez pas aux règles établies. Dans les situations les plus graves, le montant de l’amende peut être égal à 4 % de votre chiffre d’affaires annuel, ou bien aller jusqu’à 20 millions d’euros.
Plus rarement, le Code pénal prévoit la mise en place de sanctions pénales plus ou moins importantes à l’encontre d’entreprises ne remplissant pas les conditions du RGPD. En théorie cela peut aller jusqu’à une amende de 300 000 € et 5 ans d’emprisonnement. En pratique, ces sanctions pénales sont appliquées dans les situations les plus graves.
En outre, l’irrespect des règles RGPD peut occasionner des désagréments importants pour votre structure. Comme une atteinte à votre réputation, parfois irrémédiable et susceptible d’entraîner la faillite pure et simple de votre activité d’indépendant si cela a des conséquences financières sur votre activité.