Freelance et RGPD : comment vous mettre en conformité ?

L’engouement pour le freelancing a explosé ces dernières années. Ils sont plus de 1,2 million en France, leur nombre ayant augmenté de 110% sur les 10 dernières années.

La notion de “freelance” ne correspond à aucune catégorie juridique en particulier. Cette notion regroupe plusieurs situations différentes (activité libérale, auto entrepreneur ...) avec un point commun : celle de travailler en indépendant. Un indépendant est une personne qui travaille pour des clients auxquels il n’est pas lié par un contrat de travail. Pour ce faire, les indépendants créent leur entreprise soit sous forme d’entreprise individuelle, par exemple une micro-entreprise, soit sous la forme de société.

Quelle que soit la forme d’entreprise choisie, les personnes exerçant en freelance sont soumises à un certain nombre de réglementations. Et depuis l’entrée en vigueur du Règlement Général sur la Protection des données (RGPD) en 2018, l’inquiétude monte chez les personnes exerçant en indépendant dans la mesure où le format de leur activité ne leur permet pas toujours d’avoir recours à des moyens financiers et humains importants pour se mettre en conformité au RGPD.

Dans ce contexte :

• Dans quelle mesure les freelances sont-ils concernés par la conformité RGPD ?
• Comment se mettre en conformité au RGPD lorqu’on est freelance ?

1 - RGPD : les freelances sont-ils concernés ?

Il est aujourd’hui quasiment impossible d’échapper à la réglementation sur la protection des données personnelles car le champ d’application est relativement large : chaque organisme est concerné, voyons à quel titre.

Freelance : le RGPD s’applique à tous les organismes

Le champ d’application du RGPD est déterminé par les articles 2 RGPD et article 3 RGPD. Pour résumer :

• La taille de l’organisme ne compte pas : le RGPD s'applique à toutes les activités professionnelles exercées dans l'Union européenne. Sont donc exclus les traitements de données personnelles opérés dans le cadre d'une activité "strictement personnelle ou domestique". Auto-entrepreneurs, microentreprises, TPE, PME, ETI ou grandes entreprises, administrations, collectivités territoriales, ministères, ONG, États, associations, fondations : aucun organisme n'est exclu du champ d'application du RGPD.
• Le type de structure ne compte pas : organismes privés, établissements publics, fondations, associations, ONG, entreprises. Toutes sont soumises à la même réglementation sans distinction sur le secteur d’activité.
• Où que vous soyez : vous êtes soumis au RGPD dès lors que vous êtes immatriculé dans un pays membre de l’Union européenne et ce, même si vous n’exercez qu’en dehors des frontières. À l’inverse, une entreprise immatriculée à l’étranger est également soumise au RGPD dès lors qu’elle traite des données de résidents européens.
• Peu importe votre rôle dans le traitement de données personnelles : que vous opérez en tant que responsable de traitement (pour votre compte) ou en tant que sous-traitant (pour le compte de vos clients) vous etes soumis au RGPD.

D’un point de vue organique,  les personnes exerçant leurs activités en tant que freelance ne sont pas exclues du champ d’application du RGPD. Le seul critère déterminant pour l’application de la réglementation est la qualification d’une donnée personnelle. Si vous collectez des données personnelles, alors le RGPD s’applique.

Freelance : traitez-vous des données personnelles ?

Le RGPD ne s'applique qu'aux données à caractère personnel qui sont traitées par un organisme dans le cadre d'une activité professionnelle. La définition d'une donnée à caractère personnel est volontairement très large de sorte que toute donnée est potentiellement incluse dans la définition.

En effet, les données à caractère personnel correspondent à toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (par exemple, nom et prénom) ou indirectement (par exemple, numéro de sécurité sociale, adresse e-mail, enregistrement des conversations) (article 4 RGPD).

Par conséquent, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. Dès lors que des données à caractère personnel sont en jeux, le RGPD s’applique automatiquement.

Par exemple :

• En tant que consultant CRM, vous tenez un fichier client avec les informations clés les concernant comme leurs coordonnées (adresse postale, mail, numéro de téléphone). Ces données, parce qu’elles permettent d’identifier une personne en particulier, sont des données personnelles.
• En tant que gestionnaire paie freelance, vous mettez à jour les dossiers des salariés pour le calcul de la paie : la consultation et la modification des données dans le logiciel de paie. Ces données sont reliées à une personne physique identifiable. Ce sont donc des données personnelles.
• En tant que consultant marketing, vous tenez une liste d’entreprises à jour afin de faire une veille technique : même dans une relation B2B, il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Dans ce cas, la donnée personnelle sera relative à l'e-mail professionnel et l'identité de la personne physique représentant l'entreprise.

Ainsi, si vous tenez un site web vitrine, un site e-commerce, un fichier client ou encore si vous collectez des informations concernant des prospects, pour votre compte ou pour celui de clients, en tant que freelance, vous êtes concernés par le règlement général sur la protection des données.

À retenir : dès lors que les données que vous avez permettent d’identifier une personne directement ou indirectement, vous opérez un traitement de données personnelles. Dans ce cas, le RGPD s’applique et implique plusieurs obligations.

2 - Freelances : 5 étapes pour vous mettre en conformité au RGPD

Étape n°1 : cartographiez vos données personnelles

Les données personnelles se baladent absolument partout. Alors, pour faire le point, posez-vous les questions suivantes :

• Quels outils stockent des données personnelles ? Faites le point de tous les outils que vous utilisez pour votre activité : Trello, Asana, Freedcamp, Wrike, Todoist, Monday.com, Notion. Notez de façon exhaustive tous les outils digitaux (et non digitaux) que vous utilisez.
• Quelles types de données trouve-t-on dans ces outils ? Il y a les données qui se voient comme un nez au milieu de la figure. Ce sont celles qui identifient directement une personne : le nom, le prénom. Puis, nous avons les données plus “subtiles” et indirectes comme un numéro de téléphone, un numéro client, une date de naissance, etc.

💡 Pour rappel, dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel. Sont donc exclues de cette définition toutes les données se rapportant à une personne morale : entreprise, organisme privé ou public, État etc.

Psst ! Leto est un logiciel SaaS qui vous permet d’automatiser cette tâche grâce au Data mapping. C’est simple : vous indiquez les outils que vous utilisez, Leto vous dit les données que vous collectez.

Pour vous aider à choisir les outils les plus adaptés à votre besoin, des plateformes comparent pour vous plusieurs produits et services comme independant.io.

Étape n°2 : faites le tri de vos données personnelles

Cela peut paraître évident mais c’est pourtant simple : moins vous collectez de données personnelles, plus vous êtes conforme. En effet, Le RGPD impose de ne collecter que les données qui sont strictement nécessaires à votre activité : c’est le principe de minimisation de la donnée. Ce principe signifie que la meilleure manière de protéger les données c’est encore de ne pas en collecter !

Dans ce cas, posez-vous la question suivante : Les données récoltées sont-elles vraiment nécessaires à l’objectif poursuivi ? Séparez-vous des données qui ne vous sont pas indispensables. Pensez-y : plutôt que de nettoyer, ne collectez que les informations nécessaires dès le début (principe du privacy by design).

Concrètement, ne demandez à vos clients que ce qui est utile à votre activité et ne vous chargez pas davantage.

Étape n°3 : Construisez votre registre des traitements de données personnelles

Le RGPD impose de faire la liste de tous les traitements de données, c’est-à-dire de ce que vous en faites : leurs collectes, leurs sauvegardes, leurs utilisations (pour une campagne marketing, une prospection commerciale, la gestion des commandes), pour quels objectifs, pendant combien de temps, comment sont elles sécurisées et à qui y a accès.

L’article 30 RGPD impose alors à chaque organisme professionnel de déclarer dans un registre de traitements de données personnelles (l’addition de vos traitements) ce que vous faites des données collectées et utilisées.

Ce registre permet de disposer d’une vue globale sur l’ensemble des données que vous collectez et les types de traitement réalisés. Pour chaque traitement de données, vous devez préciser sa finalité (son but), le type de données récoltées, les personnes ayant accès à ces données, la durée de conservation de ces informations dans votre base de données, ainsi que le transfert de ces données hors UE s’il y a lieu.

💡 Faites la liste de tous les outils qui vous permettent de collecter les données, notamment les solutions externes utilisées pour les exploiter, et vérifiez si elles sont conformes au RGPD :

• Solution de paiement en ligne (Paypal, Stripe …),
• Solution d’envois de mails (Mailchimp, sendinblue …),
• Outils collaboratifs (Slack, Airtable, …)
• Solutions de visioconférence (Zoom, Google meet …),
• Solutions analytics (Google Analytics, Matomo …)
• Formulaires de contact ou d’inscription à la newsletter etc.

🔎 Exemple de traitement pour un freelance en marketing digital. Si vous collectez les adresses mail de prospects pour le compte de l’un de vos clients, voici à quoi pourrait ressembler votre traitement :

• Finalité : envoi de newsletter
• Catégorie de données : adresse mail
• Personnes concernées : prospects
• Personne ayant accès aux données : équipe marketing
• Base légale : le consentement
• Destinataire des données (sous-traitants) : Outil d’e-mailing (Mailchimp par exemple)
• Durée de conservation : durée nécessaire au traitement. Puis suppression des données personnelles 2 ans après l’inactivité du prospect.

Étape n°4 : Mettez votre site web en conformité RGPD

Bannière de cookies et consentements

Les cookies, aussi appelé “traceur”, ce sont les informations qui sont récoltées lors de votre visite sur un site web concernant votre historique de navigation, votre comportement sur la navigation etc. Ces informations peuvent être très utiles pour adapter le produit au comportement navigationnel.

Le RGPD impose aux entreprises déposant des cookies sur leur site internet d’informer les utilisateurs et surtout de recueillir leurs consentements à la récolte de ces informations. Vous avez c’est le petit (ou parfois gros) bandeau de cookie qui s’affiche (normalement) lors de votre arrivée sur un site web. Il est important de mettre en place ce système dès le début.

Pour vous y retrouver sur le bon gestionnaire de cookies, dans l’idéal Made in Europe, nous avons rédigé un article qui détaille tout ce que vous devez savoir sur le sujet.

Spoiler Alert : Google Analytics, il vaut mieux oublier 🤫.

Politique de confidentialité

Les personnes concernées doivent être informées du fait que vous traitez leurs données personnelles. Pour respecter cette obligation, il est nécessaire d’indiquer un certain nombre d’informations aux personnes : l’article 13 du RGPD fournit la liste des mentions obligatoires.

Il s’agit notamment de la finalité du traitement, du délai de conservation des données etc. Ces informations peuvent être détaillées dans une page “gestion de la confidentialité” sur un site web ou aussi appelé Politique de confidentialité ! N’hésitez pas à jeter un oeil à la notre : Politique de confidentialité de Leto.

Exercice des droits

C’est l’un des éléments les plus importants du RGPD : redonnez du pouvoir aux individus sur leurs informations personnelles. Pour cette raison, chaque personne dispose des droits sur ses données personnelles :

• le droit d’accès permet à un utilisateur de savoir où en est le traitement de ses données ;
• le droit de rectification permet la modification et la correction des données personnelles ;
• le droit d’opposition permet de s’opposer à l’utilisation de ses données pour un objectif précis ;
• le droit à l’effacement permet d’obtenir l’effacement de ses données ;
• le droit à la limitation permet d’arrêter temporairement l’utilisation des données ;
• le droit à la portabilité permet à la personne de récupérer une partie de ses données dans un format lisible pour son usage personnel ou pour les transmettre à un autre organisme d’assurance par exemple (copie des données) ;
• le droit à l’intervention humaine face à un profilage.

Pour vous, cela demande la mise en place de modalités pratiques (formulaire en ligne, coordonnées dédiées), d’un parcours interne efficace au sein de votre entité pour le traitement des demandes et d’un process de réponse auprès des personnes concernées qui soient compréhensibles, accessibles, formulées en des termes clairs et simples.

Rendez-vous sur notre simulateur : combien coûte un exercice de droit ?

Pour vous aider, chez Leto, notre solution met à disposition un portail dédié à vos utilisateurs sur lequel ils peuvent formuler leurs demandes d’exercice de droit. Les demandes arrivent ensuite directement sur la plateforme et cela vous permet d’identifier les données à supprimer et de générer un email de confirmation aux personnes.

Etape n°5 : aidez-vous d’un logiciel RGPD pour vous épauler

Manager l’ensemble de ces données de façon manuelle est très chronophage au regard de la quantité des données collectées.

Nous vous invitons à auditer plusieurs outils et d’en choisir un en fonction de son coût, de son expérience utilisateur et de son SAV.

Sinon, il y a le logiciel RGPD Leto, qui permet à tout non-juriste de pouvoir administrer automatiquement l’ensemble des données !

Pour plus d’information, Leto met à votre disposition un livre blanc sur les 10 étapes pour se mettre en conformité avec le RGPD.