RGPD auto-entrepreneur : votre guide 2024

Les organisations disposent aujourd’hui de nombreux outils pour traiter les données des consommateurs. Parallèlement, la confiance des citoyens à l’égard des règles protégeant leurs données n’a jamais été aussi faible. 

Face à l’augmentation de l’utilisation des informations personnelles et à la recrudescence des cyberattaques, les pays de l’Union européenne ont donc fait front commun en créant le RGPD, un texte visant à renforcer la protection des données des citoyens.  

Avoir un site web vitrine ou ouvrir une boutique en ligne signifie que vous êtes concerné par le règlement général sur la protection des données ! Soyez donc prudent, cette obligation concerne bien plus d’auto-entrepreneurs que pour les conditions générales de vente (CGV) notamment. 

1. Règlement Général sur la Protection des Données : définition

Le RGPD est une régulation européenne qui est entrée en vigueur le 25 mai 2018. Cette loi relative à la protection des données personnelles vise à encadrer la collecte, le stockage, l’utilisation et la sécurisation des datas. Elle remplace les 28 législations déjà existantes. 

Le RGPD a trois grands objectifs :  

• Rassurer les consommateurs quant au traitement et à la sécurisation de leurs données personnelles et leur permettre d’avoir une plus grande maîtrise et visibilité sur les informations récoltées. 
• Sensibiliser l’ensemble des acteurs sur les opérations de collecte, stockage, traitement et protection des données personnelles. 
• Harmoniser les lois sur la confidentialité des données au niveau européen, c’est-à-dire mettre sur un même pied d’égalité juridique tous les acteurs évoluant dans l’Union européenne. 

2. Les grands principes de la loi RGPD

Voici cinq points essentiels à retenir pour comprendre le RGPD (liste non exhaustive) : 

• Principe de communication : l’organisation doit expliquer, en des termes simples et compréhensibles par tous, la finalité, le destinataire et le délai de conservation des données. 
• Principe de minimisation : l’organisation doit uniquement récolter les informations qui sont pertinentes par rapport à l’utilisation finale (pas de données superflues). 
• Recueil du consentement : l’organisation doit être en mesure de recueillir un consentement clair des utilisateurs (pas de cases précochées). 
• Droit d’accès, de modification, d'opposition et de portabilité : l’utilisateur doit pouvoir exercer librement son droit d’accès, de modification, de portabilité (récupération de ses données pour les conserver ou les transmettre) ainsi que son droit d’opposition à certains types de traitement (profilage). 
• Principe d’information : en cas de cyberattaque ou de perte des données, l’organisation doit avertir les utilisateurs. 

3. Données personnelles et traitement des données

Une donnée est considérée comme personnelle dès lors qu’elle permet d’identifier directement ou indirectement une personne physique. 

Il y a deux grands types de données personnelles : 

• Les données personnelles « courantes » : nom, prénom, identifiant client, numéro de téléphone, mail, adresse postale, adresse IP, photo, enregistrement vocal, empreinte. 
• Les données personnelles « sensibles » : informations sur la santé, les distinctions physiques et psychiques, orientation sexuelle et religieuse, opinions politiques et philosophiques, préférences syndicales. 

Le traitement de données personnelles correspond à toute opération ou série d’opérations (collecte, enregistrement, extraction, consultation, modification, diffusion, interconnexion, destruction …) visant à extraire des informations afin de les utiliser dans un but précis (ex : publicité ciblée). 

Le RGPD s’applique au traitement de données qu’il soit informatisé ou en version papier. À titre d’exemple, la CNIL considère qu’un fichier client ou que la collecte de coordonnées de prospects sont des traitements de données personnelles. 

4. Qui est concerné par la loi RGPD ?

Le RGPD s’applique à tout organisme public ou privé qui traite des données personnelles, dès lors qu’il est établi sur le territoire de l’Union européenne ou que son activité cible des résidents européens. 

Sont donc concernées par la loi RGPD, peu importe la taille ou l’activité : 

• Les grandes entreprises, les TPE et PME 
• Les auto-entrepreneurs et freelances 
• Les collectivités, les administrations, les associations 
• Les sous-traitants qui traitent de données personnelles pour le compte de leurs clients. 

Vous souhaitez bénéficier d’un accompagnement pour la facturation et la gestion de votre auto-entreprise ? Avec l’outil mis au point par le Portail Auto-Entrepreneur, vous êtes accompagné de la création de votre page internet jusqu’au paiement de vos clients. Le premier mois d’utilisation de l’outil Mon Portail est offert ! 

JE TESTE L'OUTIL GRATUITEMENT 

1. Cartographie de votre situation actuelle

L’objectif est de créer un registre : il vous permet d’avoir une vue d’ensemble sur les données personnelles que vous avez récoltées sur vos prospects et clients. 

Dans un premier temps, listez tous les outils vous permettant de récolter des données. Par exemple : CRM, formulaire de contact sur le site, formulaire d’inscription à la newsletter, formulaire de téléchargement pour recevoir un guide gratuit, etc. 

Puis pour chaque traitement de données, précisez ces informations : 

• La finalité de la récolte des données (ex : envoi d’une newsletter mensuelle) 
• Le type de données utilisées (nom, adresse, âge…) 
• La ou les personnes(s) ayant accès aux données 
• La durée de conservation des données 

• Les modalités d’encadrement et de traitement si transfert hors de l’UE 

Enfin, assurez-vous que les solutions externes que vous utilisez pour exploiter ces informations personnelles respectent le RGPD. Par exemple : solution de paiement en ligne, plateforme dédiée aux envois de SMS, plateforme pour un jeu-concours, plateforme de dropshipping, etc. 

2. Trier les données personnelles

Pour chaque fiche créée dans votre registre, vérifiez : 

• Si les données récoltées sont vraiment nécessaires en fonction de la finalité du traitement. 
• Si vous traitez des données sensibles (car elles sont soumises à une réglementation spécifique). 
• Si la façon dont ont été récoltées ces données était bien conforme au RGPD : si ça n’est pas le cas, vous devez renoncer à ces informations ou demander à nouveau leur consentement aux propriétaires desdites données. 

3. Informer les internautes

Une fois que vous avez mis à jour vos fichiers de traitement, vous devez : 

• Indiquer clairement pour chaque support permettant de collecter des données personnelles : l’objectif de la récolte, le temps de conservation, les modalités permettant au consommateur d’y accéder, le destinataire final des données. 
• Permettre aux utilisateurs d’exercer leurs droits d’accès et de portabilité : prévoyez une adresse mail ou un formulaire spécifique pour les recours, intégrez un bouton visible de désabonnement dans votre newsletter… 
• Communiquer sur le cycle de vie des données, c’est-à-dire combien de temps elles seront stockées.  

En d’autres termes, assurez-vous de respecter les droits des consommateurs concernant la consultation, la rectification et la suppression des données. 

4. Sécuriser les données personnelles

Les conséquences d’un vol ou d’une perte de données peuvent avoir des conséquences désastreuses pour les utilisateurs et pour l’image de votre entreprise. 

Vous devez tout mettre en place pour garantir leur sécurité : 

• Sauvegardez vos données à plusieurs endroits sécurisés. 
• Protégez vos outils de stockage par un mot de passe complexe (ordinateur, disque dur). 
• Mettez à jour régulièrement vos logiciels d’antivirus et mots de passe. 
• Sécurisez au maximum les comptes clients en ligne. 
• Assurez-vous que seules les personnes autorisées peuvent avoir accès aux infos données. 

Si vous subissez une violation de données et qu’elle est susceptible de porter atteinte aux droits et libertés, vous devez informer la CNIL dans les 72 heures ainsi que les personnes concernées. 

CRÉER SON SITE INTERNET AUTO-ENTREPRENEUR : COMMENT FAIRE ?

Vous avez maintenant toutes les informations pour être en conformité avec la loi RGPD ! Envie de vous lancer dans l’aventure entrepreneuriale ? Le Portail Auto-Entrepreneur est à vos côtés pour toutes vos démarches de création d’entreprise.  

JE DEVIENS AUTO-ENTREPRENEUR