RGPD, quelles conséquences pour les freelances ?

Qu’est-ce que le RGPD ? Qu’est-ce qu’une donnée personnelle et qu’est-ce que son traitement ? Que dois-je faire en tant que freelance ? Comment me protéger ? Vous saurez tout sur la réglementation RGPD et ses conséquences pour les freelances.

1.   Qu’est-ce que le RGPD ?

a)  Définition

Ça ne t’a pas échappé : tous les sites que tu visites collectent des données, pour chaque service utilisé, tu fournis des informations, pour chaque achat, tu laisses une trace.  Certaines de ces données sont utiles pour répondre à ton besoin (difficile de ne pas donner ton adresse pour te faire livrer) d’autres beaucoup moins (mais pourquoi on me demande mon âge au fait ?) Et même l’information la plus pertinente peut être mal utilisée, vendue ou volée.

b)  Objectif

Afin de cadrer ces pratiques l’Union Européenne s’est dotée en 2018 d’un nouveau règlement sur la protection des données de ses citoyens : le fameux RGPD (règlement général sur la protection des données)

c)  Qui est concerné

Que dit la CNIL (Commission nationale de l’informatique et des libertés) ? « le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors : qu’elle est établie sur le territoire de l’Union européenne ; que son activité cible directement des résidents européens. » Traduction : tu es freelance, tu bosses en Europe ou tes clients (ou les clients de tes clients) sont Européens, il y a de grande chance que tu sois concerné !

2.   Qu’est-ce qu’une donnée personnelle et qu’est-ce que son traitement ?

a)  Les données personnelles

Tel un Monsieur Jourdain du XXIe siècle, tu commences à te demander si tu ne traiterais pas des données personnelles sans le savoir.  Pour lever le doute, voici ce qu’il se cache derrière la notion de donnée personnelle : c’est une information se rapportant directement ou indirectement à une personne physique identifiée ou identifiable.

Le RGPD classe les données personnelles en 2 catégories :

Les informations standards permettant d’identifier une personne (nom, prénom, numéro de téléphone, etc.)

Les informations sensibles concernant la santé (le n° de sécurité sociale est une donnée sensible), la vie sexuelle, les origines, les opinions ou l’appartenance syndicale. Celles-ci ne peuvent être collectées ou exploitées qu’avec le consentement explicite des personnes.

b)  Leur traitement

Est considéré comme un traitement de données personnelles : la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication ou le rapprochement.

  • En tant que freelance, tu as un fichier client avec leur nom et n° de téléphone, c’est un traitement de données personnelles.
  • Pour le compte de ton client, tu mets à jour les dossiers des salariés : traitement de données personnelles.
  • Tu tiens à jour une liste d’entreprises concurrentes : ce n’est pas du traitement de données personnelles.

3.   Que dois-je faire ?

Tu as compris : tu n’y couperas pas! Et là, j’aperçois comme une pointe d’anxiété dans ton regard. Mon dieu ! Encore un truc fastidieux à ajouter dans mon planning surchargé d’indépendant.

Oui mais non, dans les faits, si les données personnelles ne sont pas ton cœur d’activité, c’est assez simple.

a) La collecte

Au moment de collecter des informations, demande toi si tu as une utilité réelle et immédiate de collecter ces informations. Si la réponse est non, pas de collecte.

b)  La sécurisation

Les données que tu collectes doivent être protégées. Demande toi quelle mesure tu peux prendre pour t’assurer qu’elles sont entre de bonnes mains. Tu peux commencer par la base : tes mots de passe sont-ils suffisamment forts ? Les changes-tu régulièrement ? Es-tu seul à les connaître (ne me dit pas que tu les as écrit sur un post it !)

c)  L’information

3e question à se poser : les personnes sur lesquelles je collecte des informations sont-elles au courant ? Et si les données sont dites sensibles, sont-elles d’accord ? Pense à ajouter un paragraphe indiquant quelles informations sont collectées dans tes contrats ou sur ton site en précisant : le type de données, le but, le cadre et la durée de leur conservation, qui y a accès et comment les personnes peuvent en demander la suppression ou la modification.

d)  Le suivi

Afin de savoir où tu en es sur les données que tu collectes pour ton compte ou celui de tes clients, tu dois tenir un registre qui récapitule l’ensemble des informations citées plus haut. Pas de panique, Malt a conçu un template de ce fameux registre pour les freelances.

Attention en cas de contrôle, ce registre te sera demandé.

e)  Suppression

Tu dois également supprimer les données dont tu n’as plus l’utilité ou à la demande des personnes concernées. Les délais préconisés sont 5 ans pour les données RH, 3 ans pour les données de prospection, le temps de la mission pour les données nécessaires à sa réalisation.

f)   Conseil

Cette partie est très importante pour les freelances. Le RGPD impose aux sous-traitants une obligation de conseil vis-à-vis de leur client. Tu dois accompagner ton client dans sa démarche. Tu dois de plus l’alerter ainsi que la CNIL dans les 72h après la découverte d’un problème (données personnelles, de manière accidentelle ou illicite, détruites, perdues, altérées, divulguées ou si tu constates un accès non autorisé à des données). Les personnes concernées par le problème doivent elles-aussi être informées de celui-ci si le risque en découlant est élevé.

4.   Comment me protéger

a)  Les risques

Le RGPD a prévu des sanctions pour les entreprises ne jouant pas le jeu. Celles-ci sont graduelles, débutant par la simple mise en demeure de se mettre en conformité et allant jusqu’à de lourdes amendes et même des peines pénales.

b)  Les précautions à prendre

Commence par mentionner le RGPD dans tes contrats avec tes clients, (des exemples de clauses sont disponibles sur le site de la CNIL).

Si tu es amené à manipuler des données personnelles pour le compte d’un client ou si celui-ci te donne des codes d’accès, pense à lui faire notifier par écrit (paragraphe dans le contrat ou dans la fiche de mission).

Assure-toi d’être bien assuré. Demande à ton assureur si les risques liés au RGPD sont bien pris en compte dans ta police RC pro.

Prends le temps de mettre à jour ton registre afin de montrer patte blanche en cas de contrôle.

5.   Pour aller plus loin

Sous-traitance : Exemple de clauses (CNIL)

Le site de la CNIL te permettra d’en savoir plus sur le monde merveilleux du RGPD notamment sur le traitement des données sensibles ou sur des spécificités métier.

Le RGPD, ça s’applique aussi aux freelances ? (MALT)

RGPD : découvrez notre guide de bonnes pratiques pour les TPE et PME (BPI)

Photo de couverture Dayne Topkin
Photo #2 Matthew Henry

Rachel Pierre

Office manager freelance

Office manager freelance, j’accompagne mes clients dans le développement de leurs projets en optimisant l’organisation de leur entreprise. Curieuse, j’aime la découverte, le partage & me lancer de nouveaux défis.

 

COMMENTAIRES

DANS LA MÊME CATÉGORIE

Ca devrait vous intéresser

freelance en croissance
02/02/2019Édito

Amédée passe la troisième

Vous vivez aujourd’hui de votre activité freelance, mais vous n’êtes pas encore pleinement serein. Vous alternez périodes de surchauffe et périodes de vache maigre....

freelances revenus passifs
02/02/2019Palabres

Freelances, générez des revenus passifs

Deux freelances nous racontent ici comment ils sont parvenus à s’assurer des revenus réguliers qui rentrent tout seuls et viennent compléter les revenus issus de...

Retrouve Amédée sur

Like Amédée

Abonnement

Qui est Amédée ?

Amédée passe la troisième • FÉVRIER

Avec le soutien bienveillant de