Le Règlement Général sur la Protection des Données (RGPD) est un texte de l’Union Européenne qui renforce la protection des données personnelles des individus. En effet, aucun texte global à l’échelle européenne ne donnait de consignes claires sur l’utilisation et la gestion des données personnelles depuis l’arrivée d’Internet. Le RGPD est entré en vigueur le 25 mai 2018, nous allons détailler ses conséquences sur les professionnels indépendants.
Cet article a été initialement diffusé sur le groupe Facebook Compta Pour Les Professions Libérales, réseau d'entraide des praticiens libéraux dans leur comptabilité.
Toutes les entreprises sont soumises au RGPD, y compris les entreprises individuelles telles que les professions libérales, les commerçants ou encore les artisans. À partir du moment où le professionnel collecte des données personnelles sur ses clients, il doit les protéger. Il suffit de suivre un peu l’actualité pour voir que le vol de données est un des fléaux les plus importants de ces dernières années. De grands groupes mondiaux se font ainsi dérober des milliers de données dites sensibles, qui peuvent être utilisées contre les utilisateurs : usurpation d’identité, phishing, vol de coordonnées bancaires, détournement d’argent, etc… Pour éviter la propagation de ce type de piratage, il est donc important que chaque professionnel sécurise au maximum les données qu’il détient.
Les règles à respecter
Protection de l’accès aux données
Toutes les données personnelles, aussi bien papiers qu’informatiques, doivent être protégées. Sur ordinateur, il est recommandé de verrouiller votre poste lorsque que vous quittez votre bureau, et de ne pas laisser le mot de passe à portée de main. Il est important que ce mot de passe soit unique, assez complexe (minimum de 8 caractères comprenant une majuscule, une minuscule et un chiffre par exemple), et de le changer deux fois par an. Utilisez un antivirus de qualité et optez pour un système d’exploitation plus sûr. Les dossiers papiers doivent quant à eux être rangés dans une armoire fermée à clé. Les seules personnes qui peuvent avoir accès aux dossiers de vos clients ou patients sont vos éventuels assistants. Ils ne doivent en aucun cas divulguer ces informations, prévoyez une clause de confidentialité dans les contrats de travail.
Collecte et transmission des données
Les informations que vous pouvez collecter auprès de vos clients sont, selon la CNIL (Commission Nationale de l’Informatique et des Libertés), les informations “adéquates, pertinentes et limitées” pour l’exercice de votre activité. En d’autres termes, vous ne devez conserver les données que si vous en avez réellement besoin, toutes les données superflues sont à détruire. Ces données ne peuvent être conservées indéfiniment, consultez les bonnes pratiques de votre profession pour connaître le temps de conservation conseillé. Par exemple, l’Ordre des médecins recommande de garder les dossiers des patients 20 ans après la dernière consultation, puis de les détruire. Vous devez avertir vos clients ou patients que leurs données seront gardées tant d’années. Bien souvent, cette information est indiquée dans la salle d’attente de votre bureau ou de votre cabinet. Il n’y a en revanche pas besoin de consentement pour recueillir des données médicales, de par leur nature.
La transmission des données personnelles doit se faire systématiquement de manière sécurisée. Vous devez utiliser une adresse mail professionnelle cryptée et contrôler les personnes à qui vous y donnez accès. Limitez les données transmises aux seuls besoins du receveur : les données administratives pour votre secrétaire, le dossier plus complet à votre associé, etc… Certains tiers autorisés peuvent également vous demander de plein droit l’accès à ces données. Vérifiez ici les tiers autorisés.
Prouver le respect des règles
Pour vérifier que vous respectez bien toutes les règles du RGPD, vous avez l’obligation de garder une trace de tous vos moyens de protection dans un registre des activités de traitement. Vous devez y indiquer tout changement dans vos méthodes de protection des données, la date de changement de vos mots de passe, le but de la collecte des données, les transmissions, les délais prévus d’effacement etc… La CNIL propose un modèle de registre de base pour vous aider à le mettre en place. Vous n’avez dorénavant plus aucune démarche à faire auprès de la CNIL pour déclarer le traitement de données personnelles. En cas de contrôle, vous devez simplement présenter votre registre des activités de traitement mis à jour.
Encore une question sur l’application du RGPD pour les indépendants ? Vous pouvez nous laisser un petit retour dans les commentaires ou directement dans le live-chat pour les utilisateurs d’Indy (ex Georges), ou bien aller débattre avec la communauté sur le groupe Facebook !
Actualité ComptableLégislation
Bonjour,
Et pour les consultants indépendants qui ont un excel pour prospection ?
Est-ce qu’il faut demander aux cibles identifiées d’accepter d’être dans excel ?
Bonjour Joe,
Vous n’êtes pas obligé de leur demander, en revanche ce fichier doit être en accès limité (vous et vos éventuels associés) et votre ordinateur doit être protégé par un mot de passe fort. Si vous le pouvez, verrouillez également le document en lui même.
Bonjour,
Et pour les mandataires judiciaires à la protection des majeurs indépendants, quelles particularités selon vous ?
Bonjour,
Cet article traite des règles globales du RGPD, applicable à tous les professionnels. Certaines professions sont protégées d’avantage, comme les professions judiciaires ou bancaires. Pour en savoir plus, je vous conseille le site de la CNIL qui détaille toutes les particularités de votre profession.
Bonjour
Dans le cas d’une association, ces règles doivent elles aussi s’appliquer ?
Bonjour,
A partir du moment où vous collectez des informations personnelles, il vous faut les protéger et donc appliquer les règles du RGPD, quelque soit votre structure juridique.
Bonjour
Un client (de type entreprise) peut-il demander à consulter le registre des activités de traitement ?
Bonjour,
D’après le site de la CNIL : « Les organismes privés (non chargés d’une mission de service public) ne sont pas tenus de communiquer le registre au public. Néanmoins, ils peuvent, s’ils l’estiment opportun, le communiquer aux personnes qui en font la demande ». Votre client peut donc vous demander de consulter votre registre, mais vous n’êtes pas obligé d’accepter.
En aucune manière. Le Registre est un document purement interne. Globalement, seule la CNIL sera amenée à le consulter en cas de contrôle.
En revanche, votre client peut tout à fait faire valoir son droit d’accès aux données personnelles qui le concernent.
Merci pour cet article.
Bonjour
Le livre de police électronique pour les véhicules d’occasion doit il être soumis à autorisation (exemple le Maire).
Cdt
Bonjour,
Vous devez faire une déclaration de votre logiciel à la CNIL. Vous trouverez toutes les informations dans la circulaire du gouvernement dédié à ce sujet : http://circulaire.legifrance.gouv.fr/pdf/2010/07/cir_31476.pdf
acheté
Merci bcp pour cet article RGPD, adapté aux professions libérales !
Très utile.