Le 25 mai 2018, un nouveau dispositif de protection des données personnelles collectées est entré en vigueur. Il s’agit du Règlement Général sur la Protection des Données (RGPD).
Le micro-entrepreneur est concerné par cette nouvelle règlementation dès lors qu’il collecte et qu’il traite les données personnelles de ses clients.
Nous allons essayer de vous apporter toutes les précisions possibles, tirées d’un texte de loi européen abscons qui n’est visiblement pas fait pour la structure juridique d’un micro-entrepreneur.
Vous trouverez également tous les outils pour vous mettre en conformité avec ce règlement.
Le micro-entrepreneur et le RGPD
Le RGPD concerne toute organisation, organisme ou entreprise, de droit public ou privé, qui collecte et traite des données personnelles, à partir du moment où :
- son siège social est établi sur le territoire de l’Union Européenne,
- ses activités réalisées concernent directement les résidents européens.
Le micro-entrepreneur, dans cette situation, est donc concerné par le RGPD.
La définition d’une donnée personnelle
Une donnée personnelle correspond à toute information, directe ou indirecte, relative à une personne physique identifiée ou identifiable :
- nom, prénom,
- n° de client, n° de téléphone, et d’une manière plus générale, tous les éléments spécifiques à l’identité physique, physiologique, génétique, psychique, économique, culturel ou social de la personne.
Cette personne physique peut ainsi être identifiée à partir d’une seule donnée, mais également à partir d’un croisement d’un ensemble de données.
Le traitement d’une donnée personnelle
Le traitement d’une donnée personnelle sur un support informatique ou « papier », qui résulte d’un ensemble d’opérations reposant sur l’utilisation d’un procédé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, rapprochement), doit avoir un objectif légal qui rentre dans le cadre de l’activité professionnelle exercée.
Tous les supports, informatique ou « papier » sont concernés par le RGPD
Tout traitement de donnée doit avoir un but qui s’inscrit à la fois dans un cadre légal et en relation avec l’activité professionnelle exercée.
La définition du RGPD et les objectifs poursuivis
Le RGPD a pour mission d’encadrer le traitement des données personnelles sur le territoire de l’Union Européenne et de renforcer le contrôle par les citoyens de l’utilisation qui est faite des données les concernant.
Ce nouveau cadre légal, qui s’inscrit dans la continuité de la loi « Informatique et Libertés » de 1978, s’adapte à l’évolution des technologies et de nos sociétés (usage du numérique, commerce en ligne, etc.).
Le micro-entrepreneur, concerné par le RGPD, n’a plus à faire de déclaration à la CNIL (NS48, NS50, etc.) pour être en règle avec la collecte et le traitement des données personnelles de ses clients.
Le RGPD a été imaginé :
- pour qu’il n’y ait aucune exception dans son application,
- pour que son application soit fondée sur la notion de gestion des risques afin d’offrir des marges de manœuvre en fonction de la taille de l’entreprise.
Le RGPD s’applique à toute entreprise française (y compris au micro-entrepreneur) mais possède des critères d’adaptabilité qui permettent des solutions sur mesure en fonction de la taille de l’entreprise concernée.
Le micro-entrepreneur face aux obligations du RGPD
En contrepartie de la disparition de nombreuses formalités auprès de la CNIL pour garantir la protection de la collecte et du traitement des données personnelles, la responsabilité du micro-entrepreneur sera renforcée. Désormais, il devra être en mesure :
- d’assurer en permanence une protection optimale des données collectées et traitées,
- de démontrer cette protection en documentant cette conformité.
Derrière ces principes fondateurs à la signification très abstraite, quelles actions concrètes va devoir mener le micro-entrepreneur pour être en conformité avec le RGPD ?
Le micro-entrepreneur doit tenir un registre des activités de traitement
Prévu à l’article 30 du RGPD, c’est un document de recensement et d’analyse permettant de disposer d’une vue d’ensemble de l’utilisation qui est faite des données personnelles. Il est obligatoire quelle que soit la taille de l’entreprise. Le micro-entrepreneur devra donc se soumettre à cette obligation.
Ce registre est le reflet du traitement qui est fait des données personnelles. Il devra permettre d’identifier :
- les parties prenantes qui interviennent dans le traitement des données,
- les catégories de données traitées,
- à quoi servent les données, qui accède aux données et à qui elles sont communiquées,
- combien de temps les données sont conservées,
- comment les données sont sécurisées.
Toutefois, bénéficiant d’une dérogation en faveur des Très Petites Entreprises (TPE), le micro-entrepreneur devra l’établir aux seules catégories de données suivantes :
- les traitements non-occasionnels : gestion de la paie, gestion des clients/prospects et des fournisseurs,
- les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
- les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).
Le micro-entrepreneur devra tenir un registre des activités de traitement qui va lui permettre de documenter ce travail de collecte et de contrôle des données personnelles.
Il devra produire ce registre en cas de contrôle de la CNIL.
Vous avez à votre disposition un modèle de registre établi par la CNIL en cliquant simplement sur l’image ci-contre.
Le micro-entrepreneur gère des données personnelles
Le micro-entrepreneur doit désormais être en mesure d’offrir à ses clients la maitrise des données personnelles qu’il collecte pour :
- établir une facture,
- enrichir une base de données,
- envoyer un bulletin d’information, une invitation à des manifestations, une offre promotionnelle, souscrire un abonnement, offrir une garantie ou un service après-vente,
- etc.
Le micro-entrepreneur insérera une rubrique « Protection des données », accessible et compréhensible, dans ses conditions générales de vente. Il prévoira également une note d’information dans les documents qui servent à la collecte. Enfin, les clients devront avoir un moyen simple et rapide de contacter le micro-entrepreneur pour l’exercice de leurs droits d’accès, de rectification, d’opposition et d’effacement.Vous avez à votre disposition un modèle de facture “spécial RGPD” à télécharger ICI
Le micro-entrepreneur doit être en mesure d’informer ses clients qu’il maîtrise totalement les informations personnelles collectées et qu’il permet un droit d’accès total conformément à sa Politique de confidentialité.
Vous retrouverez un modèle de ces mentions en cliquant simplement sur l’image ci-contre.
Pour la télécharger, il suffit de faire clic droit avec votre souris et “enregistrer l’image sous”.
Le micro-entrepreneur communique en ligne (site vitrine ou marchand)
Le micro-entrepreneur peut avoir un site internet dans lequel il présente son activité et son entreprise. Il peut y proposer par exemple un formulaire de contact, un abonnement à une newsletter ou un bulletin d’information.
Le RGPD lui impose de respecter quelques règles de base très simples :
- faire apparaître des mentions « CNIL » en bas de son formulaire de contact,
- proposer un moyen de contact (adresse email) simple pour que les personnes puissent exercer leurs droits,
- rédiger des mentions légales qui identifient l’éditeur du site
Voici un modèle de formulaire d’abonnement avec la demande de consentement et un message qui indique au client (ou à l’internaute) qu’il peut retirer son consentement et où il peut trouver la procédure pour le faire.
Ce formulaire sera à adapter en fonction de sa finalité :
- Le verbe exploiter pourra être remplacer par traiter ou utiliser
- La finalité du formulaire devra clairement apparaître : pour permettre de me recontacter, pour m’envoyer la newsletter, dans le cadre de la relation commerciale qui s’instaure, etc.
Le site, vitrine ou de vente, peut déposer des cookies (outils qui permettent d’analyser la navigation, les déplacements, les habitudes de consultation ou de consommation des internautes). Ce site peut également utiliser des fonctionnalités offertes par d’autres sites (solutions de statistiques, boutons sociaux, etc.).
Le micro-entrepreneur devra veiller à obtenir le consentement de ses clients ou des internautes et en faire état dans les mentions légales du site.
Vous avez la possibilité de télécharger un modèle de mentions légales et de politique de confidentialité qui tient compte des dispositions du RGPD. Elle comporte des éléments généraux qui nécessitent des adaptations en fonction de son utilisation par le micro-entrepreneur. L’UPSME se dégage de toute responsabilité à cet égard et rappelle que ce document devra faire l’objet d’une vérification et d’une validation par un conseil juridique avant toute mise en ligne. Le micro-entrepreneur retiendra ces règles simples :
La sécurisation des données en ligne :
- s’il propose des services payants sur son site, il s’assurera que tout le parcours de vente se fait sous https,
- il imposera à ses clients ou à ses adhérents de créer un mot de passe complexe utilisant à la fois des lettres minuscules, majuscules, des chiffres et des symboles particuliers (@, #, etc.)
- il ne transmettra aucune donnée personnelle par mail,
- il veillera enfin à ne conserver aucune coordonnée bancaire.
L’information des clients ou des adhérents :
- le micro-entrepreneur insèrera dans son site une page « vie privée » rédigée de manière claire et compréhensible.
- Il y sera notamment fait mention de l’utilisation faite des données personnelles collectées.
Le contrôle des données par les clients :
- Le micro-entrepreneur mettra à la disposition de ses clients ou adhérents un lien de contact facile et accessible pour permettre la rectification ou l’effacement des données personnelles collectées.
RGPD : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Vous avez également la possibilité de demander à l’UPSME de vous établir vos mentions légales pour votre site internet (vitrine ou marchand). Elles seront réalisées par un Conseil juridique et strictement personnelles. Il vous suffit de compléter et de nous faire parvenir le questionnaire ci-dessous.
Cet article a 6 commentaires
Merci infiniment pour ce compte rendu! C’est très clair! Y’a plus qu’à. …
Bonjour
Doit on le faire aussi sur une page FB ? ou ce n’est que pour les sites ?
Merci d’avance pour vos réponses
Votre page FB doit renvoyer vers la politique de confidentialité qui est en ligne sur votre site internet.
bonjour ok mai je n’ai pas de site juste une page FB dois je le faire aussi ?
Merci bien
bonjour ok mai je n’ai pas de site juste une page FB dois je le faire aussi ?
Merci bien
Bonjour Eric,
Merci pour cet article très précis encore une fois !
Je suis entrain d’adapter le registre des activités de traitement à mon activité.
Y a t’il une durée légale de conservation des adresses emails de nos clients ? (pour leur envoyer des offres promotionnelles ou l’actualité des nouvelles prestations proposées).
Je pensais mettre 3 ans mais il y a peut être des durées légales ??
Merci !
Marion