Le dernier rapport de la CNIL fait apparaître un bilan de près de 129 000 amendes dressées et le pourcentage de 4% du CA par amende. Une majorité de micro-entrepreneurs est concernée, pensant à tort ne pas être concernée par cette obligation.
Cet article revient sur le contenu du contrôle de la CNIL et présente les solutions proposées par l’UPSME
RGPD et micro-entrepreneurs : les principales erreurs constatées par la CNIL
Absence de registre de traitement
Le Règlement Général sur la Protection des Données (RGPD) impose aux micro-entrepreneurs, de tenir un registre des activités de traitement des données personnelles. Ce registre est un document essentiel qui permet de répertorier l’ensemble des traitements de données réalisées, et il doit contenir des informations clés sur chaque traitement, notamment :
- Les finalités du traitement : Pourquoi les données sont collectées et utilisées.
- Les catégories de données personnelles traitées : Types de données (nom, adresse, email, etc.).
- Les personnes concernées : Groupes de personnes dont les données sont enregistrées (clients, employés, fournisseurs).
- Les destinataires des données : Qui a accès aux données (internes et externes).
- La durée de conservation des données : Combien de temps les données sont conservées.
- Les mesures de sécurité : Moyens pour garantir la protection des données.
Pour les micro-entrepreneurs, ce registre prendra une forme simplifiée tout en demeurant un outil de transparence. Il sera demandé en cas de contrôle par la CNIL.
L’absence de moyens permettant de refuser les cookies aussi facilement que de les accepter
Le RGPD impose aux sites internet d’obtenir le consentement éclairé des utilisateurs pour le dépôt et l’utilisation de cookies, à l’exception des cookies strictement nécessaires au fonctionnement du site (comme les cookies de session). Voici les principales obligations concernant les cookies :
- Obtenir un consentement clair et explicite : Les utilisateurs doivent être informés et donner leur accord avant que les cookies non essentiels soient installés sur leur appareil. Cela inclut les cookies à des fins de marketing, de publicité, et de suivi des préférences.
- Proposer une gestion facile des préférences : Le site doit offrir un moyen simple et intuitif permettant à l’utilisateur de paramétrer ses préférences en matière de cookies. Cela inclut la possibilité d’accepter tous les cookies, de refuser tous les cookies, ou de personnaliser le type de cookies acceptés.
- Accès constant aux paramètres : Les utilisateurs doivent pouvoir modifier leur choix concernant les cookies à tout moment, et cela doit être facilement accessible sur le site (par exemple, via un lien dans le pied de page pour accéder aux préférences cookies).
- Informer clairement les utilisateurs : Le site doit détailler les types de cookies utilisés, leurs finalités, leur durée de conservation, et les parties avec qui ces données peuvent être partagées.
En somme, le RGPD exige une transparence totale et un contrôle accessible pour l’utilisateur en matière de cookies, afin de garantir un consentement éclairé et libre.
Le non-respect des droits des personnes
Le RGPD accorde aux individus plusieurs droits sur leurs données personnelles, tels que le droit d’accès, de rectification, d’effacement, de limitation, d’opposition, et de portabilité des données. Lorsqu’une personne exerce l’un de ces droits, le micro-entrepreneur est tenu de répondre dans un délai maximal d’un mois. Ce délai commence à compter de la réception de la demande :
- Réponse dans un délai d’un mois : L’organisation doit fournir une réponse dans un délai d’un mois. Ce délai peut être prolongé de deux mois supplémentaires si la demande est complexe ou si l’organisation reçoit de nombreuses demandes. Dans ce cas, elle doit informer la personne concernée du délai supplémentaire et des raisons du retard.
- Accusé de réception et informations : Dès réception de la demande, il est recommandé de confirmer sa prise en charge et d’informer l’individu des délais de réponse et des étapes à venir.
- Gratuité de la réponse : En général, l’exercice des droits est gratuit pour la personne. Cependant, en cas de demandes répétitives ou excessives, l’organisation peut imposer des frais raisonnables ou refuser de donner suite, à condition de justifier cette décision.
- Clarté et transparence de la réponse : La réponse doit être compréhensible et fournir les informations nécessaires ou les actions prises (par exemple, confirmation de la suppression des données, ou raisons pour lesquelles une demande ne peut pas être satisfaite).
En cas de non-respect des délais, le micro-entrepreneur s’expose à des sanctions de la CNIL ou à d’éventuelles plaintes des personnes concernées.
Le manquement à l’information des clients
Le RGPD impose aux micro-entrepreneurs une « obligation d’informer » leurs clients et utilisateurs de manière claire et transparente sur l’usage de leurs données personnelles. Cette information doit être fournie au moment de la collecte des données, et inclure des éléments précis pour garantir que les clients comprennent comment et pourquoi leurs données sont utilisées.
- Identité du responsable du traitement : Indiquer qui est responsable du traitement des données, souvent l’entreprise ou l’organisation qui les collecte.
- Finalités du traitement : Expliquer pourquoi les données sont collectées et comment elles seront utilisées (ex. : gestion des commandes, envoi de newsletters, suivi client, etc.).
- Base légale du traitement : Préciser la base juridique justifiant la collecte des données (consentement, contrat, obligation légale, intérêt légitime).
- Destinataires des données : Indiquer avec qui les données peuvent être partagées, notamment les partenaires, sous-traitants, ou autres tiers, et si elles sont transférées en dehors de l’Union européenne.
- Durée de conservation : Informer sur la durée pendant laquelle les données seront conservées, ou les critères utilisés pour définir cette période.
- Droits des clients : Expliquer les droits des clients (accès, rectification, effacement, limitation, opposition, portabilité) et comment ils peuvent les exercer, y compris les coordonnées de contact.
- Possibilité de déposer une plainte : Mentionner que les clients peuvent déposer une réclamation auprès de la CNIL (ou d’une autorité de contrôle équivalente) en cas de non-respect de leurs droits.
Cette information doit être « facilement accessible, compréhensible, et rédigée en termes clairs« . Elle est généralement fournie via une « politique de confidentialité » disponible sur le site internet ou lors de la collecte dans le local commercial ou professionnel.
Les solutions proposées par l'UPSME pour la mise en conformité du RGPD
Audit des sources de collecte de données personnelles (micro-entreprise et site internet).
Établissement du registre simplifié de traitement des données personnelles, spécifique aux micro-entrepreneurs.
Rédaction de l'information "clients" sur la politique de confidentialité pour le local commercial et/ou professionnel.
Rédaction des mentions légales et de la politique de confidentialité du site internet.
Proposition de solution pour la gestion des cookies par les utilisateurs du site internet, conforme au RGPD.
Solution complète
Micro-entreprise et site internet-
Solution complète comprenant la mise en conformité RGPD décrite ci-dessus.
-
Pour votre micro-entreprise et son site internet.
RGPD
Micro-entreprise-
Mise en conformité RGPD décrite ci-dessus.
-
Pour votre micro-entreprise.
-
À l'exclusion de la politique de confidentialité du site internet.
RGPD
Site internet-
Mise en conformité RGPD décrite ci-dessus.
-
Pour votre site internet.
-
À l'exclusion de toute la partie RGPD relative à la micro-entreprise.