Auto entrepreneur et RGPD : que risquez-vous ?


Juridique et Digital / mardi, septembre 11th, 2018

L’entrée en vigueur du nouveau règlement relatif au traitement des données à caractère personnel du 25 mai 2018 fait grand bruit sur la toile. Il entraîne en France, une modification de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les conséquences directes sont importantes, avec notamment, la disparition de l’obligation de déclaration à la CNIL et la mise en place d’un registre de données personnelles en interne. De nouvelles obligations entrent en action !

Mais au final, la question qui reste après avoir pris connaissance de cette nouvelle loi est : quels sont les risques pour mon entreprise en tant qu’auto entrepreneur ? Les sanctions sont-elles réellement appliquées aujourd’hui ?

Il faut aussi savoir quelles sont les actions à réaliser pour se mettre en conformité. Lecture !

Quelles sont vos obligations ?

La première chose à faire est de savoir si vous êtes concernés par le RGPD en tant qu’auto entrepreneur. Le champ d’application du règlement est très large donc vous pouvez facilement être concerné !

En tant qu’auto entrepreneur, le RGPD vous concerne, notamment, si vous :

  • Animez une newsletter (e-mail, nom ou prénom) ;
  • Possédez sur votre site un formulaire de contact ;
  • Offrez la possibilité à vos visiteurs de se connecter à votre site avec un identifiant et un mot de passe ;

Si l’une des phrases ci-dessus vous concerne, il faut mettre en place de nouveaux process rapidement !

Il faut savoir quelles sont les données que vous stockez (noms, prénoms, coordonnées bancaires, adresses, e-mails).

Il faut aussi pouvoir justifier ce stockage par rapport à votre activité.

Par exemple, si vous animez une newsletter, vous pouvez justifier la conservation des coordonnées basiques de vos internautes (e-mails, noms et prénoms) pour pouvoir ultérieurement communiquer avec eux. Vous conservez uniquement les informations utiles pour votre entreprise.

Attention, la newsletter ne justifie pas la conservation des données bancaires de vos internautes !

Il faut ensuite pouvoir expliquer comment vous conservez ces données : via un registre informatique ou un support papier et être capable de donner une durée de conservation.

L’utilisateur doit être informé, lorsqu’il remplit votre formulaire de contact, par exemple, que ses données seront stockées pendant “2 ans” pour permettre la diffusion d’une newsletter.

Il doit pouvoir, s’il le souhaite, effacer ces données personnelles.

Attention, si votre site fait face à une défaillance informatique de sécurité, vous devez être en mesure de prévenir dans les 72 heures, l’autorité de contrôle donc la CNIL de cette faille ! Il faut aussi informer, dans les meilleurs délais, les utilisateurs concernés lorsqu’il existe un risque élevé pour leurs droits et libertés.

Comment se mettre en conformité ?

En tant qu’auto entrepreneur d’une entreprise de moins de 10 salariés, les actions à mettre en place sont assez abordables. Vous pouvez respirer un grand coup !

Dans un premier temps, penchez-vous sur les logiciels que vous utilisez. Ils doivent être conformes au RGPD, c’est le cas pour la plupart des logiciels de gestion RH ou comptable. En cas de doutes, il faut joindre la personne en charge du logiciel pour poser la question autour de sa conformité.

Si vous voulez être serein au quotidien, la solution la plus confortable est d’investir dans un logiciel de registre de traitement standard des données personnelles avec, par exemple, Legiscope.

Si vous n’avez pas envie d’investir financièrement dans ce support, vous pouvez vous-même le mettre en place. Le RGPD n’impose pas une forme particulière pour ce registre. Il faut simplement qu’il soit en version papier ou informatique et qu’il regroupe l’ensemble de vos données.

Attention : il faut pouvoir expliquer comment vous avez obtenu ces données, justifier le fait que les personnes aient reçu une information sur cette conservation et que les données en questions soient strictement nécessaires à votre utilisation.

Quelles sont les sanctions ?

L’arrivée du nouveau règlement n’incite pas les juges à diminuer les sanctions pénales, au contraire !

L’article à connaître est le numéro 226-16 du code pénal. Il précise que si vous ne respectez pas les formalités préalables de traitements des données à caractère personnel vous vous exposez à une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende.

L’opération est donc particulièrement lourde !

Ces sanctions ne sont pas écrites pour le plaisir et elles ont récemment été mises en application.

Cas concrets sanctionnés par la CNIL

Jeudi 7 juin 2018, la CNIL sanctionne Optical Center avec une amende de 250 000 euros pour « une fuite de données conséquente ». Dans ce cas, les clients n’avaient pas leurs données suffisamment sécurisées lorsqu’ils passaient leur commande via le site internet.

Attention, ce cas est ici pour illustrer le fait que les sanctions lourdes peuvent tomber sur la tête des entreprises. Cependant, il est aussi nécessaire d’avoir une vision d’ensemble. Dans le cas de Optical Center, la CNIL avait déjà sanctionné l’entreprise en 2015 à hauteur de 50 000 euros.

Le 28 juin 2018, les sanctions tombent aussi contre l’association pour le Développement des Foyers (ADEF). Cette association a pour objectif de mettre à disposition des logements pour des étudiants, des familles monoparentales ou des travailleurs migrants. En 2017, la CNIL constate une défaillance dans leur conservation des données à caractère personnel. Un an après, les données étaient toujours accessibles depuis leur site internet.

La mise en conformité est essentielle et prioritaire. Elle est aussi importante pour les auto entrepreneurs qui utilisent des données sur leur site internet pour éviter les sanctions.

Il faut donc retenir que les sanctions peuvent tomber si les avertissements de la CNIL ne sont pas entendus.

Quelle est la procédure d’avertissement par la CNIL ?

La CNIL n’impose, généralement pas, aux entrepreneurs une sanction dès le premier coup.

En fonction de la gravité du manquement de votre entreprise, elle peut :

  • prononcer un rappel à l’ordre
  • vous exigez de vous mettre en conformité, sous astreinte ou pas,
  • limiter temporairement ou bien définitivement le traitement
  • suspendre votre flux de données
  • prononcer une amende administrative

L’amende arrive en dernier lieu. Si vous avez, à un moment des nouvelles de la CNIL, vous avez, normalement, le temps pour vous mettre RAPIDEMENT en conformité !

Cependant, l’objectif n’est pas d’attendre que la CNIL vienne taper à votre porte, mais plutôt d’agir pour éviter de l’apercevoir !

Alors un conseil, ne traînez pas 🙂

auto entrepreneur et RGPD

À PROPOS DE MANON MORALES

manon-moralesRédactrice web freelance,

Passionnée par l’univers du web et l’écriture, je mêle les deux activités pour obtenir un résultat 2.0. Je vous accompagne sur vos projets pour écrire vos contenus web optimisés : articles de blog, pages de site internet, fiches produits ou encore newsletters.

Make my words

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.