Si l’auto-entrepreneur est en contact avec des informations personnelles (nom, prénom, adresse email, adresse postale, etc.), il a l’obligation de suivre certaines règles en matière de collecte, de stockage, d’utilisation et de sécurisation des données. Pourquoi ? Tout simplement car le RGPD oblige l’auto-entreprise à assurer la protection des informations.
Le fonctionnement du RGPD pour les auto-entreprises
keyboard_arrow_rightAuto-entrepreneur et RGPD : quels objectifs ?
Appliqué depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est un règlement de l'Union européenne encadrant la protection des données personnelles. En tant qu'auto-entrepreneur, vous êtes concerné par cette réglementation puisqu'elle définit les obligations des professionnels en matière de collecte, de stockage, de traitement et de sécurisation des données personnelles.
Beaucoup plus strict que les anciennes réglementations qu'il remplace, le RGPD a trois objectifs principaux.
- keyboard_double_arrow_right
Renforcer le droit des consommateurs : les particuliers ont désormais une plus grande maîtrise de leurs données personnelles, notamment car ils disposent d'un droit à l'oubli et qu'ils doivent formuler un consentement clair et explicite quant à la collecte de leurs informations.
- keyboard_double_arrow_right
Responsabiliser les entreprises : le but du RGPD est également de faire en sorte que les professionnels adoptent des pratiques plus vertueuses en matière de collecte et d'utilisation des données personnelles. Ils sont également sensibilisés sur la problématique du stockage et de la sécurisation, deux postes souvent négligés.
- keyboard_double_arrow_right
Adopter un cadre harmonisé : la mise en place du RGPD a également permis d'harmoniser les pratiques à l'échelle de l'Union européenne et, ainsi, de créer un cadre juridique commun, notamment en ce qui concerne la confidentialité des données.
keyboard_arrow_rightLes notions du RGPD que l'auto-entrepreneur doit connaître
La mise en place du RGPD a vu la fin des formalités listées par la CNIL (Commission nationale de l'informatique et des libertés). Conséquences ? L'auto-entrepreneur doit connaître et respecter de nouveaux principes en ce qui concerne la protection des données personnelles qu'il peut collecter.
- keyboard_double_arrow_right
Le droit à l'oubli : si le particulier invoque certains motifs particuliers, l'auto-entrepreneur peut être contraint de supprimer les données personnelles qu'il détient à propos de cette personne.
- keyboard_double_arrow_right
Le droit à la portabilité : il est également possible de demander à l'auto-entreprise de récupérer l'ensemble des informations personnelles, qu'il devra alors fournir gratuitement au format électronique.
- keyboard_double_arrow_right
Le consentement : avant de collecter, de stocker ou d'utiliser des données personnelles, l'auto-entrepreneur a l'obligation d'obtenir le consentement clair et explicite du consommateur.
- keyboard_double_arrow_right
Le principe de minimisation : l'auto-entrepreneur ne peut collecter que des informations qui sont réellement utiles à l'usage qu'il en fait. Il ne doit donc pas récupérer d'informations superflues.
- keyboard_double_arrow_right
L'analyse d'impact : les professionnels ont également l'obligation de décrire systématiquement les opérations de traitement qu'ils réalisent sur les informations personnelles. Ils doivent aussi être capables d'en expliquer la raison et la nécessité.
keyboard_arrow_rightLes auto-entrepreneurs concernés par le RGPD
En pratique, le RGPD s'adresse avant tout aux grandes entreprises qui collectent et utilisent un volume considérable de données personnelles. Néanmoins, tout organisme privé ou public qui est amené à conserver, gérer ou utiliser des informations personnelles doit respecter cette réglementation, y compris les auto-entrepreneurs. Cela s’applique donc tout particulièrement au site Internet de l’auto-entreprise, mais également aux autres support permettant de collecter des données de clients (formulaire d’inscription à la newsletter, formulaire de contact, etc.).
keyboard_arrow_rightFaire le point sur les pratiques de l’auto-entreprise
Pour que l'auto-entrepreneur se mette en conformité avec le RGPD, une première étape s'impose : analyser les pratiques de l'auto-entreprise en matière de collecte et de traitement des données personnelles. Pour cela, plusieurs gestes sont à suivre :
- keyboard_double_arrow_right
listez l'ensemble des outils que vous utilisez pour collecter des informations personnelles, aussi bien électroniques que papier ;
- keyboard_double_arrow_right
définissez les caractéristiques de l'utilisation de ces données (l'usage qui en est fait, la nature des informations collectées, les personnes qui y ont accès et la durée de conservation) ;
- keyboard_double_arrow_right
formalisez toutes ces informations au sein d'un registre unique ;
- keyboard_double_arrow_right
vérifiez que les solutions utilisées pour exploiter ces données sont conformes au RGPD (paiement en ligne, envoi de SMS, etc.).
keyboard_arrow_rightTrier les données collectées par l’auto-entreprise
Pour respecter le RGPD, l'auto-entrepreneur doit également s'appuyer sur le registre qu'il a créé afin de trier les données collectées. L'objectif est multiple :
- keyboard_double_arrow_right
ne traiter que les informations pertinentes ;
- keyboard_double_arrow_right
arrêter la collecte des informations superflues ;
- keyboard_double_arrow_right
mettre en place un processus spécifique pour les données dites « sensibles » (santé, opinion politique, orientation religieuse, particularité physique, etc.) ;
- keyboard_double_arrow_right
vérifier que les individus ont donné leur consentement pour la collecte de ces informations.
keyboard_arrow_rightÊtre transparent sur la politique RGPD de l’auto-entreprise
Dans le cadre du RGPD, l'auto-entrepreneur a également un devoir de transparence. Il doit ainsi communiquer auprès des internautes, de ses clients et de ses prospects ses pratiques en matière de collecte et d'usage des données personnelles.
- keyboard_double_arrow_right
Préciser les modalités de collecte : sur chaque support permettant de collecter des informations personnelles, l'auto-entrepreneur doit indiquer la raison de la collecte, la durée de conservation des informations, les modalités qui permettent à l'individu d'y accéder et l'organisme final ayant l'usage des données.
- keyboard_double_arrow_right
Assurer les droits du consommateur : comme nous l'avons vu précédemment, l'utilisateur doit avoir la possibilité d'accéder à ses informations, de demander leur suppression ou d'annuler son consentement. L'auto-entrepreneur doit donc lui donner cette possibilité, notamment en communiquant sur les outils dont dispose le consommateur (lien de désinscription à la
newsletter, formulaire de demande, adresse email de contact, etc.).
keyboard_arrow_rightProtéger les données collectées par l'auto-entreprise
Souvent négligée, la sécurisation des données personnelles est également l’une des obligations de l’auto-entrepreneur induites par le RGPD. Pour assurer leur protection, plusieurs comportements sont à adopter :
- keyboard_double_arrow_right
conserver les informations en différents lieux sécurisés ;
- keyboard_double_arrow_right
sécuriser l'accès au stockage via une protection adaptée (mot de passe, clé de cryptage, etc.) ;
- keyboard_double_arrow_right
vérifier que seules les personnes autorisées ont accès aux informations personnelles.
Espace Auto-Entrepreneur met à votre disposition un service pour devenir auto-entrepreneur plus facilement et vous fait profiter de conseils, notamment en ce qui concerne l’application du RGPD.
Si l'auto-entrepreneur ne respecte pas le RGPD, il s'expose à des sanctions dont le niveau est graduel et qui dépendent de la gravité de l'infraction. On distingue 4 étapes dans l'application des sanctions :
- keyboard_double_arrow_right
étape 1 : la CNIL adresse un avertissement ou une mise en demeure ;
- keyboard_double_arrow_right
étape 2 : l'auto-entrepreneur reçoit une injonction à cesser immédiatement les violations constatées ;
- keyboard_double_arrow_right
étape 3 : la CNIL ordonne une limitation ou une suspension temporaire de collecte et d'usage des données ;
- keyboard_double_arrow_right