RGPD : quelles sont les règles à suivre pour les indépendants ?

En 2018, quatre lettres faisaient trembler tous les entrepreneurs français : RGPD. Avec ses mesures contraignantes et ses sanctions spectaculaires, tout le monde redoutait alors une sanction de la CNIL. Mais qu’en est-il pour les indépendants ? Qu’est-ce que le RGPD et que risque-t-on à ne pas le respecter ?

Cet article a été initialement diffusé sur le groupe Facebook Compta Pour Les Professions Libérales, réseau d'entraide des praticiens libéraux dans leur comptabilité.

RGPD : définition

Le Règlement Général sur la Protection des Données (RGPD) est un texte de l’Union Européenne qui renforce la protection des données personnelles des individus. En effet, aucun texte global à l’échelle européenne ne donnait de consignes claires sur l’utilisation et la gestion des données personnelles depuis l’arrivée d’Internet. Le RGPD est entré en vigueur le 25 mai 2018, nous allons détailler ses conséquences sur les professionnels indépendants.

Toutes les entreprises sont soumises au RGPD, y compris les entreprises individuelles telles que les professions libérales, les commerçants ou encore les artisans. À partir du moment où le professionnel collecte des données personnelles sur ses clients, il doit les protéger. Il suffit de suivre un peu l’actualité pour voir que le vol de données est un des fléaux les plus importants de ces dernières années. De grands groupes mondiaux se font ainsi dérober des milliers de données dites sensibles, qui peuvent être utilisées contre les utilisateurs : usurpation d’identité, phishing, vol de coordonnées bancaires, détournement d’argent, etc… Pour éviter la propagation de ce type de piratage, il est donc important que chaque professionnel sécurise au maximum les données qu’il détient.

Les règles à respecter

Protection de l’accès aux données

Toutes les données personnelles, aussi bien papiers qu’informatiques, doivent être protégées. Sur ordinateur, il est recommandé de verrouiller votre poste lorsque vous quittez votre bureau, et de ne pas laisser le mot de passe à portée de main. Il est important que ce mot de passe soit unique, assez complexe (minimum de 8 caractères comprenant une majuscule, une minuscule et un chiffre par exemple), et de le changer deux fois par an. Utilisez un antivirus de qualité et optez pour un système d’exploitation plus sûr. Les dossiers papiers doivent quant à eux être rangés dans une armoire fermée à clé. Les seules personnes qui peuvent avoir accès aux dossiers de vos clients ou patients sont vos éventuels assistants. Ils ne doivent en aucun cas divulguer ces informations, prévoyez une clause de confidentialité dans les contrats de travail.

L’article 6-1 du RGPD énumère les six conditions selon lesquelles le traitement de données est permis.

Collecte et transmission des données

Les informations que vous pouvez collecter auprès de vos clients sont, selon la CNIL (Commission Nationale de l’Informatique et des Libertés), les informations « adéquates, pertinentes et limitées » pour l’exercice de votre activité. En d’autres termes, vous ne devez conserver les données que si vous en avez réellement besoin, toutes les données superflues sont à détruire. Ces données ne peuvent être conservées indéfiniment, consultez les bonnes pratiques de votre profession pour connaître le temps de conservation conseillé.

Par exemple, l’Ordre des médecins recommande de garder les dossiers des patients 20 ans après la dernière consultation, puis de les détruire. Vous devez avertir vos clients ou patients que leurs données seront gardées tant d’années. Bien souvent, cette information est indiquée dans la salle d’attente de votre bureau ou de votre cabinet. Il n’y a en revanche pas besoin de consentement pour recueillir des données médicales, de par leur nature.

La transmission des données personnelles doit se faire systématiquement de manière sécurisée. Vous devez utiliser une adresse mail professionnelle cryptée et contrôler les personnes à qui vous y donnez accès. Limitez les données transmises aux seuls besoins du receveur : les données administratives pour votre secrétaire, le dossier plus complet à votre associé, etc… Certains tiers autorisés peuvent également vous demander de plein droit l’accès à ces données. Vérifiez ici les tiers autorisés.

Prouver le respect des règles

Pour vérifier que vous respectez bien toutes les règles du RGPD, vous avez l’obligation de garder une trace de tous vos moyens de protection dans un registre des activités de traitement. Vous devez y indiquer tout changement dans vos méthodes de protection des données, la date de changement de vos mots de passe, le but de la collecte des données, les transmissions, les délais prévus d’effacement etc… La CNIL propose un modèle de registre de base pour vous aider à le mettre en place. Vous n’avez dorénavant plus aucune démarche à faire auprès de la CNIL pour déclarer le traitement de données personnelles. En cas de contrôle, vous devez simplement présenter votre registre des activités de traitement mis à jour.

Le principe de « Privacy by design »

Le principe de privacy by design, que l’on pourrait traduire par confidentialité par conception, consiste à intégrer la confidentialité des données des utilisateurs dès la conception d’un produit ou service. Cela s’applique bien sûr aux applications et autres logiciels recueillant des données, mais aussi aux sites internet de vente en ligne, jeux concours nécessitant de recueillir des informations… La confidentialité des données doit être intégrée à chaque composante de votre produit, de sa conception à ses outils marketing.

Sachez que votre logiciel de comptabilité Indy est entièrement sécurisé en ce sens.

Qui vérifie l’application du RGPD ?

C’est la CNIL qui est chargée de l’application de la RGPD en France. La Commission Nationale de l’Informatique et des Libertés a été créée par la loi informatique et libertés du 6 janvier 1978. C’est une autorité administrative indépendante (AAI) et en cela c’est un organisme qui agit au nom de l’Etat mais qui n’est pas sous l’autorité d’un gouvernement ou d’un ministre quelconque. Elle est composée de 18 membres élus ou nommés.

Elle a pour fonction de surveiller l’utilisation des données personnelles contenues dans les fichiers informatiques ou papier des entreprises comme des organismes privés. Elle doit donc veiller à ce que les données recueillies par ces entités soient utilisées à bon escient et qu’il n’y ait pas d’abus ou d’utilisation frauduleuse de ces dernières au regard des réglementations françaises et européennes.

Plus concrètement, ses missions sont au nombre de 4 :

1. Informer et protéger les droits
   C’est à la CNIL que revient la responsabilité de sensibiliser les organismes qui utilisent des données des bonnes pratiques en la matière. Toute personne ayant une question en ce sens peut appeler la CNIL pour avoir plus d’informations à ce sujet.
2. Accompagner la conformité et conseiller
   La CNIL a également une mission de conseil, notamment auprès des collectivités territoriales. Elle les accompagne plus en profondeur pour que ces acteurs majeurs de la vie numérique française puissent être en conformité avec les réglementations européennes.
3. Anticiper et innover
   Participation à des débats sur l’éthique des données, accompagnement d’entreprises créant de nouveaux outils pour la protection des informations, prix créé pour le soutien dans la recherche en la matière… La CNIL œuvre pour les acteurs du RGPD afin que la réglementation soit appliquée de la meilleure des manières.
4. Contrôler et sanctionner
   Peut-être la mission à laquelle les entrepreneurs pensent le plus rapidement, mais le contrôle et la sanction sont évidemment partie prenante du rôle de la CNIL concernant notamment le RGPD. C’est l’organisme qui fait autorité en la matière et à qui vous aurez à faire si vous ne respectez pas les règles.

Quelles sont d’ailleurs les sanctions pour la non application du RGPD ?

Sanctions pour la non application du RGPD

Ne pas respecter le RGPD peut avoir des conséquences très graves pour votre entreprise. Les sanctions possibles sont de deux types : amendes administratives et sanctions pénales

Amendes administratives liées au RGPD

L’article 83 du RGPD annonce que les sanctions administratives doivent être proportionnées et dissuasives. Pour ce faire, la CNIL prend en compte de nombreux critères tels que :

• La gravité et la durée de la violation ;
• Les mesures prises pour atténuer le dommage subi ;
• Le degré de coopération…

Sachez cependant que la sanction peut théoriquement aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Cependant, en pratique, pour les TPE et entreprises individuelles, elles sont de quelques milliers d’euros à quelques centaines de milliers d’euros comme l’atteste cet article regroupant plusieurs exemples de sanctions de la part de la CNIL.

Sanctions pénales liées au RGPD

Beaucoup plus rares, des sanctions pénales sont également prévues par le code pénal français pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende. Nous n’avons cependant pas trouvé d’exemple de telles peines, elles doivent donc être réservées aux cas les plus graves.

Le processus de sanction de la CNIL

Chaque sanction suit un processus bien défini que nous allons vous présenter ci-dessous.

Sanction RGPD 1ère étape : signalement

Le signalement d’un manquement au RGPD peut se faire via des plaintes sur le site cnil.fr, de faits remontés par la presse ou du signalement d’autres CNIL européennes.

Sanction RGPD 2ème étape : contrôle

Le contrôle des faits peut se faire en ligne si les manquements sont visibles à distance, sur place pour vérifier les traitements de données ou sur convocation, auxquels cas un procès verbal sera établi. Il peut également être demandé sur pièce, avec questions écrites et demande de documents.

Sanction RGPD 3ème étape : action de la CNIL

Si pas ou peu d’observations effectives ont été effectuées, le dossier est clos et un courrier est envoyé à l’organisme en question pour le prévenir de la décision de la CNIL. En revanche si des manquements sérieux sont avérés, une mise en demeure peut être envoyée à l’entrepreneur concerné avec un délai de 6 à 12 mois pour se conformer. A l’issue de ce laps de temps, si rien n’a été fait, la sanction tombera. Dans les cas les plus graves, la sanction peut cependant être immédiate.

En résumé, si vous avez un doute sur l’utilisation de vos données client, n’hésitez pas à appeler la CNIL pour qu’ils vous conseillent sur les bonnes pratiques à avoir et ainsi éviter signalements et contrôles.
 
Encore une question sur l’application du RGPD pour les indépendants ? Vous pouvez nous laisser un petit retour dans les commentaires, l’équipe d’Indy y répondra rapidement ! Vous pouvez également aller débattre avec la communauté sur le groupe Facebook !