60 % des entrepreneurs individuels ne sont pas conforme avec le RGPD d’après la répression des fraudes.
Vous risquez une amende jusqu’à 5 % de votre chiffre d’affaires.
Êtes-vous prêt à risquer plusieurs milliers d’euros si durement gagnés ?
Je vais vous donner maintenant 5 actions concrètes et faciles à mettre en place pour ne pas se retrouver dans le collimateur de la répression des fraudes ou de la CNIL.
Oui, donner, gratuit, parce que les indépendants n’ont pas tous 1000 euros à donner dans un conseil juridique.
Et comme je ne suis pas juriste, je vous donne les infos que mon juriste m’a donné, mais je vous conseille de vous rapprocher du vôtre, si besoin.
Comment vérifier si on est conforme ou comment faire sinon ?
Il existe quelques règles simples à mettre en place.
Le gros intérêt pour vous est de montrer, si vous êtes contrôlé, que vous jouez le jeu, que vous essayez de faire les choses bien, et même s’il y a des erreurs, vous démontrez votre bonne fois, et il n’y a pas de raison de vous amender, sauf si vous tombez sur un C…
Voici les actions que je vais détailler.
1- Le mini texte obligatoire à inclure dans vos communications par emails et newsletters.
2- La cookies bar à mettre sur votre site et blog.
3- Le document excel pour le suivi des données personnelles.
4- L’email de contact DPO.
5- Le mini texte de vos emails si vous recrutez du personnel et leurs données.
6- A savoir si vous travaillez avec des prestataires hors UE.
Le rgpd c’est quoi ?
C’est le Règlement Général de la Protection des Données.
Je ne vais pas entrer dans les détails juridiques, vous trouverez tout sur le site de la CNIL.
Pourquoi il y a un risque sérieux ?
Étant donné le contexte économique actuel, ainsi que les bilans démontrant que les fraudes de l’année 2022 sont en augmentation, l’administration fiscale va mener une campagne d’actions de grande ampleur pour récupérer ces milliards de manque à gagner.
D’ailleurs, un nombre important de contrôleurs ont été embauchés et formés pour cela.
Et comme le titre l’indique bien, il y a un nombre important de personnes qui ne sont pas en conformité, soi par ignorance, soi pour d’autres raisons.
J’ai parlé avec des entrepreneurs qui ne croient pas du tout pouvoir être un jour contrôlé.
Pour eux, ils sont soi trop petit, donc pas intéressant pour un contrôle, soi simplement dans le déni.
Un peu comme ceux qui se disent que les accidents, c’est pour les autres.
D’autres vous affirment avec arrogance que le RGPD ne s’applique pas en B2B, qu’ils ont le droit de faire de la collecte de prospects « à l’ancienne ».
Pire, il y a de plus en plus de nouvelles applications qui hackent les données des comptes mails, et certaines sociétés vous vendent ça, sans risque, parce qu’eux n’exploitent pas ces données, mais c’est vous qui prenez le risque.
Passons à l’action.
1- Le mini texte obligatoire à inclure dans vos communications par emails et newsletters et à vos CGV.
Conformément au Règlement Européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données nous vous informons que vous pouvez exercer votre droit d’accès, d’opposition, de rectification et à la portabilité, mais également solliciter l’effacement ou la limitation du traitement de données vous concernant.
2- La cookies bar à mettre sur votre site et blog.
On trouve des plugin pour les CMS comme WordPress, avec des textes déjà en place.
Ils sont parfois en anglais, mais il suffit de les traduire avec Google traduction.
Le but de ces cookies bar est d’informer votre visiteur que votre site utilise des cookies (code informatique permettant de suivre les statistiques des visiteurs de votre site, par exemple, comme celui de Google G4 Analytics), Facebook, Insta., Linkedin…
3- Le document excel pour le suivi des données personnelles.
Sur le site de la CNIL, vous trouverez un fichier Excel comme exemple pouvant être téléchargé et modifié pour votre usage.
Un peu compliqué à mon avis, il permet de comprendre qu’il faut en fait savoir où sont stockées et avec qui vous partagez les données personnelles de vos prospects et clients, mais aussi fournisseurs et salariés.
Par exemple, j’ai le nom, prénom, date de naissance, email, téléphone, coordonnées de mes clients.
Je les conserve sur mon ordinateur, verrouillé par mot de passe.
J’ai une copie papier des factures avec leurs coordonnées dans mes boites archives dans une armoire fermée à clé.
Délai de conservation 10 ans (obligation légale). Date de révision : ….(si besoin)
Par exemple, j’ai les emails de mes prospects sur mon application de newsletters XXX dont les serveurs sont en France à telle adresse (ils déclarent être conforme au RGPD).
Délai de conservation : 2 ans après la dernière newsletter expédiée.
En bref, il faut que vous puissiez démontrer que vous savez où sont les données personnelles, qu’elles sont protégées, non divulguées à tout va, que vous avez un suivi et une révision régulière de mise à jour et éventuellement de destruction de ces données si elles ne vous servent plus.
Mais vous devez pouvoir aussi accéder à la demande des utilisateurs pour leurs effacements par exemple.
Faites vous un simple fichier Excel ou Libreoffice (comme Openoffice mais en plus, ça y est, on peut aussi modifier les PDF, comme le fait Adobe payant) pour suivre ces données, et prévoyez des dates avec rappels sur votre agenda numérique pour les révisions.
4- L’email de contact DPO.
Le Délégué à la Protection des Données est la personne déclarée auprès de la CNIL et à contacter pour faire les demandes.
Utile dans une société avec du personnel, mais sans obligation légale, pour un travailleur indépendant, évidemment, c’est vous-même.
Dans l’idéal, vous pouvez créer une adresse email spécifique dpo-nomdomaine(@)gmail.com par exemple pour recevoir les demandes spécifiques.
L’avantage avec Gmail c’est que vous allez pouvoir aussi ajouter un message automatique pour informer que vous avez bien reçu et que vous allez répondre sous X jours par exemple.
Un peu comme on s’en sert pour dire qu’on est en vacances de telle date à telle date.
J’aime bien indiquer perso « Pas de panique, je réponds toujours aux emails sous 3 jours maxi, même si je suis en déplacement ».
Ça rassure les gens qui ne vont pas vous envoyer 10 emails de demandes !!!
Et n’oubliez pas d’inclure le mini texte en 1 à la fin de vos emails.
5- Le mini texte de vos emails si vous recrutez du personnel et leurs données.
A la fin de vos emails d’échanges avec des candidats, je vous conseille de mettre un message comme celui-ci, même et surtout si vous ne retenez pas la personne.
« Nous souhaitons conserver vos coordonnées et informations personnelles que vous nous avez confié au cas où un poste éventuel se libère pour un délai de 1 an sauf si vous nous faites part de votre refus. »
Il est rappelé que dans le cadre du traitement des données, et Conformément au Règlement Européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données nous vous informons que vous pouvez exercer votre droit d’accès, d’opposition, de rectification et à la portabilité, mais également solliciter l’effacement ou la limitation du traitement de données vous concernant.
Pour exercer ces droits, vous pouvez adresser votre demande à l’adresse suivante : DPO…
6- A savoir si vous travaillez avec des prestataires hors UE.
Lorsque vous travaillez avec des prestataires européens dont la France, je vous conseille de vérifier qu’ils appliquent le RGPD et vérifiez sur leur site web par exemple.
Indiquez que vous l’avez contrôlé sur votre fichier tableur de suivi.
Pour les prestataires hors de l’UE, bien souvent ils font référence à la protection des données et suivent les directives de l’union européenne même s’ils n’y sont pas obligé ; afin de pouvoir travailler avec les européens.
Si vous utilisez un auto-répondeur pour vos newsletters, vérifiez bien.
Sendiblue pour les newsletters est conforme.
SG-autorépondeur est conforme.
Les géants américains ne sont pas tous à l’écoute de ce règlement RGPD.
Le mot de la fin.
Voilà. Je le répète, je ne suis pas juriste, et ne peux être tenu responsable des éventuels problèmes que vous pourriez rencontrer.
Mais si cet article peut vous aider, vous informer, c’est le seul et unique but non lucratif.
Derniers petits conseils avisés.
Si vous travaillez avec des collaborateurs, que vous avez des données personnelles de vos clients par exemple sur votre ordinateur, dans l’idéal, vous devriez pouvoir le verrouiller à chaque fois que vous quittez la pièce.
Vous allez au WC, mettez votre ordinateur sur la veille avec un mot de passe pour en sortir.
Vous conservez un double de vos informations sur un disque dur externe, enfermez-le pour le stocker.
Vous avez des documents papiers sur vos employés, ils doivent être sous les verrous.
Les papiers bien sûr, pas les employés !
Retrouvez-moi aussi sur Linked’In.