Auto-entrepreneur et RGPD : se mettre en conformité avec la nouvelle loi

Le règlement européen RGPD est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel (autrement dit les informations sur lesquelles les entreprises s’appuient pour proposer des services et des produits). Il a été voté en 2016 par le Parlement Européen. Il abroge et remplace la directive de 1995 sur la protection des données personnelles. Le nouveau texte est entré en vigueur le 25 mai 2018 et il est d’application directe dans les Etats membres. Ceux-ci doivent malgré tout le transposer en droit français. La France vient de le faire dans une loi du 20 juin 2018 qui modifie la loi "Informatique et libertés" datant de 1978.

En tant que chef d’entreprise, l’auto-entrepreneur qui collecte et traite des données personnelles dans le cadre de son activité professionnelle (par exemple par le biais de son site web de vente en ligne ou via son blog professionnel) doit le faire en conformité avec ces nouveaux textes légaux.

Par « données personnelles »  il faut comprendre toute donnée se rapportant à une personne physique, qui peut être identifiée ou identifiable, quel que soit le moyen utilisé (numérique ou papier). Par exemple  : nom et prénom, photo, e-mail nominatif, numéro de client, numéro de télé­phone, identifiant de compte…

Par «traiter des données personnelles », il faut comprendre, enregistrer, collecter, organiser conserver, utiliser, des données personnelles… (par exemple, un utilisateur doit s’inscrire sur votre site ou votre blog pour recevoir une newsletter ou commander…).

Le champ d’application du RGPD est donc très large. Il y a 90% de chance que vous soyez concerné. Pour le vérifier : https://www.cnil.fr/fr/informatique-et-libertes-suis-je-concerne

Avant toute chose, pour vous mettre en conformité avec le RGPD, vous devez faire le point sur les données que vous collectez et sur la manière dont vous les collectez. Cela passe par la constitution d’un registre. Le registre mis en ligne par la CNIL vous aidera à faire cette première démarche : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

En effet, avec le RGDP, vous devez :

• savoir exactement quel genre de données personnelles vous stockez et traitez : état civil, identité, données d’identification, situation familiale, informations professionnelles, données de connexion (adresse IP), données internet (cookies, traceurs, données de navigation, mesures d’audience…)
• pouvoir dire pourquoi vous les stockez (c’est-à-dire dans quel but : prospect, vente en ligne, envoi de newsletter…)
• comment vous les stockez et les traitez (sachant que les fichiers papiers autant que les fichiers informatiques sont soumis au RGPD)
• limiter la conservation et l’utilisation dans le temps de ces données (par exemple 3 ans à compter de la fin de la relation contractuelle)
• informer l’utilisateur du pourquoi et comment ses données sont utilisées et stockées et le faire en toute transparence. 
• sécuriser ces données et prévenir dans les 72h les utilisateurs en cas de défaillance de sécurité (en cas de piratage de votre site ou votre blog ayant provoqué la fuite des leur données)
• permettre à un utilisateur de faire effacer très facilement ses données personnelles s’il le souhaite

La Cnil a également a mis en ligne plusieurs autres outils qui peuvent vous être utiles dont voici une liste non exhaustive :

https://www.cnil.fr/fr/rgpd-notions-cles-et-bons-reflexes

https://www.cnil.fr/fr/cnil-direct/question/393

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_fiche-1_que-faire-quand-votre-entreprise-communique-vend-en-ligne.pdf

Autre lien utile : https://www.federation-auto-entrepreneur.fr/actualites/auto-entrepreneur-et-rgpd-que-faire