Micro-entrepreneur : Votre guide pour appliquer la loi RGPD

Qu’est-ce que la loi RGPD ?

L’expansion d’internet et du numérique a entraîné le développement d’un grand nombre d’outils utilisés par les organisations et entreprises, pour traiter les données personnelles de diverses catégories de personnes. Cependant, l’utilisation de ces données sensibles requiert des normes (cf CNIL). En effet, au regard des risques associés à l’utilisation des données personnelles et à la cybercriminalité, les pays membres de l’Union Européenne ont mis en place un nouveau dispositif légal nommé RGPD : une mise en conformité de ces nouvelles obligations est donc à respecter. 

Le Règlement Général de la Protection de Données (RGPD), en remplacement des 28 législations préexistantes en la matière, vise le renforcement de la protection des informations personnelles des consommateurs. Cette loi informatique concerne donc l’encadrement de la collecte, du stockage, de l’utilisation (transfert de données par exemple) et de la protection des données privées. 

Les objectifs du RGPD

Le RGPD a pour finalités principalement trois objectifs. Cette réglementation permet de : 

• rassurer les citoyens tout en leur donnant plus de maîtrise et de pouvoir sur les informations qu’ils fournissent aux entreprises,
• sensibiliser tous les acteurs intervenant dans la collecte et le traitement des données, sur le caractère important d’une protection de ces informations personnelles et 
• proposer un cadre pour l’harmonisation des lois nationales sur la protection des informations personnelles. 

Tous les citoyens des pays de l’Union Européenne pourront aisément profiter des bénéfices de cette obligation légale.

Les principes de la loi RGPD

L’application de la loi RGPD nécessite des obligations qui dérivent de plusieurs principes. On peut distinguer :

• le principe de minimisation qui stipule qu’il ne faut recueillir que les informations nécessaires pour l’usage et laisser celles superflues,
• le principe de communication qui veut que l’entreprise informe les consommateurs sur l’usage qu’elle fera de leurs données, 
• le recueil du consentement qui sous-tend que les données sont récoltées avec le consentement des consommateurs concernés,
• le principe d’information qui veut que le consommateur soit averti en cas de violation ou de dégradation de ses données,
• l’analyse d’impact qui oblige les entreprises à décrire, aux consommateurs, les traitements réalisés sur les données ainsi que les raisons qui les sous-tendent et
• le droit d’accès et de portabilité qui stipule que les consommateurs peuvent avoir accès, à tout moment, à leurs informations. 

Ils peuvent demander la modification, la suppression, le transfert ou empêcher le traitement de ces données. Ces principes ne sont pas les seuls qui régissent le RGPD, mais sont ceux qui semblent les plus déterminants. 

Traiter les données personnelles

Les informations ou données personnelles sont celles qui permettent de reconnaître directement ou indirectement une personne physique. Il en existe deux types. Il y a celles dites « courantes » tels que le nom, le prénom, le numéro de téléphone, l’adresse mail, l’adresse postale ou IP, la photo, l’empreinte, l’enregistrement vocal, etc. Les informations dites « sensibles » sont celles ayant rapport aux informations sur la santé, les caractérisations physiques, psychiques ou sexuelles, les orientations religieuses, politiques et philosophiques. 

Le traitement de données désigne l’ensemble des opérations en lien avec la manipulation des informations personnelles utilisées pour un objectif précis. Lesdites opérations peuvent concerner la collecte, l’enregistrement, l’extraction, la modification, la diffusion et même la destruction de ces données, qu’elles soient en version papier ou numérique. 

Loi RGPD : les personnes concernées

La loi RGPD concerne les entreprises ou les organisations qui se chargent de la collecte, la conservation, la gestion et de l’utilisation d’un grand volume d’informations personnelles. Cependant, pour que toutes les rigueurs de cette réglementation soient appliquées, il faudra que les entreprises et/ou leurs cibles soient implantées sur le territoire de l’Union Européenne. Ainsi, la loi RGPD s’applique : 

• aux grandes entreprises, aux TPE et aux PME,
• aux auto-entrepreneurs et freelances,
• aux collectivités,
• aux administrations,
• aux associations,
• etc.

Les sous-traitants s’occupant du traitement ou de la gestion de données personnelles pour d’autres organismes, sont également concernés par cette loi. 

Loi RGPD : les règles de conformités pour les micro-entrepreneurs

Les micro-entrepreneurs concernés par la loi RGPD doivent respecter les principes de cette réglementation et donc être en conformité avec elle. Pour y arriver, il faudra suivre plusieurs étapes.

Faire un état des lieux de la situation actuelle

Il s’agit de faire une cartographie de la situation actuelle de la micro-entreprise. Elle a pour but la création d’un registre qui permettra au micro-entrepreneur d’avoir une vue d’ensemble sur les informations personnelles de ses clients et ses prospects. Il devra d’abord faire une liste des outils qui pourrait lui permettre de collecter les données (formulaires de contact, de téléchargement ou d’inscription, etc.). Il devra aussi préciser, pour chacun des traitements de données : 

• l’usage final de la collecte des données,
• le type de données exploitées,
• les personnes qui ont accès à ces données,
• la durée au cours de laquelle les informations sont conservées,
• les méthodes pour encadrer et traiter les données si elles sont envoyées hors de l’Union Européenne,
• etc.

Le micro-entrepreneur doit s’assurer que les solutions externes qu’il utilise pour l’exploitation des données personnelles respectent la loi RGPD. 

Faire le tri des données 

Pour chacune des fiches créées dans son registre, le micro-entrepreneur doit vérifier si les données collectées sont indispensables selon l’usage qui en sera fait. Il doit également vérifier si les données traitées sont sensibles ou pas. Aussi, l’auto-entrepreneur doit s’assurer que la méthode de collecte des données est conforme à la loi RGPD. Dans le cas contraire, ces informations doivent être abandonnées. Dans le cas où il est nécessaire de les utiliser, le consentement des personnes concernées doit être pris en compte. 

Appliquer le principe de transparence envers les personnes concernées

Après avoir mis à jour ses fichiers de traitement, le micro-entrepreneur doit préciser aux consommateurs, pour chaque outil de collecte de données :

• l’objectif de la récolte,
• la durée de conservation,
• les méthodes à utiliser pour avoir accès à ces données
• le récepteur de ces informations. 

Le micro-entrepreneur doit aussi permettre aux consommateurs d’exercer leurs droits d’accès et de portabilité sur les informations collectées.  

Protéger les données personnelles

Pour éviter les conséquences liées à la perte des données, le micro-entrepreneur doit faire en sorte de protéger toutes les informations recueillies. Ainsi, il doit :

• sauvegarder les données dans divers endroits sécurisés,
• protéger l’outil de stockage par un mot de passe complexe,
• mettre à jour les antivirus et mots de passe de façon régulière,
• sécuriser les comptes utilisateurs en ligne,

L’auto-entrepreneur doit aussi veiller à ne permettre l’accès aux données qu’aux personnes autorisées.

Maintenant que vous en savez plus sur la micro-entreprise et la loi RGPD, retrouvez les autres articles de notre académie :

Numéro de SIRET auto entrepreneur : Comment l'obtenir ?
TVA auto entrepreneur : De quoi parle-t-on ?
La Sécurité Sociale des Indépendants (SSI) : On vous dit tout
S'inscrire au registre spécial des agents commerciaux (RSAC)
RC Pro auto entrepreneur est-ce obligatoire ?