Le 25 mai 2018, la réglementation à l’initiative des institutions européennes entrait en application. Son but ? Renforcer et harmoniser la protection des données personnelles au sein de l’UE. Ce nouveau cadre légal est un changement pour tous, entreprises comme freelances. C’est aussi une vraie opportunité de vous démarquer à condition de bien comprendre en quoi vous êtes concerné(e) et ce qu’on attend de vous.

RGPD : un changement de paradigme 

Rassurez-vous, en tant que freelance, vous n’aurez sûrement pas à réaliser la démarche en 6 étapes de la CNIL. En revanche, il se peut que vous soyez amené(e) à traiter les données personnelles de vos clients dans le cadre de vos missions, à savoir “la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication par transmission diffusion ou toute autre forme de mise à disposition de données”, auquel cas vous aurez un certain nombre d’obligations à respecter.

 Quick action !

  1. Constituer un registre des traitements de données global unique  avec vos traitements propres et ceux de vos clients. Voici un modèle.
  2. Faire le tri dans vos données.
  3. Respecter les droits des personnes.
  4. Sécuriser vos données.

Pour vous guider dans la réalisation de ces 4 étapes clés, vous pouvez vous appuyer sur le guide adapté aux TPE/PME qui a été créé par la CNIL en partenariat avec la BPI.

Pourquoi les freelances sont-ils plus impliqués qu’avant

La loi RGPD renforce la responsabilité des entreprises qui traitent des données personnelles en élargissant le champ d’application de la réglementation à tout acteur intervenant dans le traitement de données personnelles (prestataires, sous-traitants…). Ainsi, en tant que “sous-traitant”, vous êtes autant responsable que votre clientsi vous manipulez des données personnelles.

 À retenir

Vous êtes tenu de respecter des obligations spécifiques notamment en matière de sécurité, de confidentialité et de documentation même si ce sont les données de votre client. Celui-ci pourra d’ailleurs exiger que vous vous engagiez contractuellement à protéger les données que vous pourriez être amené(e) à traiter pour son compte ou à ce que votre assurance professionnelle couvre cet aspect.  

Pour bien comprendre les implications du RGPD dans la relation entre entreprises et freelances – ou tout autre acteur externe – il existe un guide spécifique du sous-traitant auquel vous pouvez vous référer.

Autre point de bascule du RGPD : dorénavant, les entreprises doivent prouver par une documentation que les traitements qu’elles mettent en oeuvre sont conformes à l’ensemble des exigences du RGPD. D’où, entre autres, la réalisation et la tenue à jour d’une documentation complète* – dont le fameux registre des traitements de données dans lequel les prestataires, cabinets comme freelances, figurent. (*selon votre niveau d’implication dans le traitement de données personnelles, il se pourrait que vous ayez également à mettre en place des procédures d’exercice des droits des personnes ou à désigner un DPO).

Quelles sont les missions et profils les plus sensibles ?

Certains types de missions et de clients sont plus susceptibles d’être impactés par le RGPD. Tout organisme qui offre une prestation informatique ou marketing est potentiellement concerné :

  • Les prestations IT car les systèmes d’informations permettent d’accéder à des données personnelles et de les traiter : services informatiques (hébergement, maintenance, etc…), intégrateurs de logiciels,  SSII…
  • Les prestations marketing lorsqu’elles touchent au CRM (base de données client / emailing etc.), au webmarketing ou à l’acquisition (mise en place de trackers et cookies pour le suivi des performances d’acquisition de trafic, l’AB testing…).

Que vous travailliez en direct avec un client ou que vous passiez par un intermédiaire type SSII ou une agence de communication, vous êtes aujourd’hui un maillon de la “chaîne de responsabilité”.

Récapitulatif*  des domaines d’activités et typologies de métiers susceptibles d’être impactés

Marketing/communication/RH

Consultant CRM, Chargé de communication/relation presse (si accès aux mailings), Consultant SEM/SEA, Social media manager, Consultant RH, Consultant événementiel, Consultant spécialisé travaillant sur des données sensibles…

Rappel des règles de la prospection commerciale sur le site de la CNIL

 À retenir

L’utilisateur doit savoir précisément comment ses données vont être utilisées, pouvoir consulter la politique de confidentialité et, le cas échéant, le règlement ou les conditions d’utilisation et avoir la possibilité de se désinscrire. Il faut également obtenir le consentement des prospects.

Pour les clients, il est possible de leur envoyer des communications relatives à des produits et services analogues, sous réserve de leur donner la possibilité de se désinscrire ainsi que le droit d’accès, la modification, la suppression et l’effacement de leurs données ainsi que le droit à la portabilité.

Vous pourrez trouver la liste des droits exerçables par les utilisateurs ici. 

Data et développement

Développeur back-end, webmaster, Sysadmin, Data scientist / data analyst / data engineer, Administrateur système DBA…

Il faut savoir expliquer comment les données sont protégées : toutes les actions, techniques et procédures prévenant de la perte, du vol, de la divulgation ou de la compression des données doivent être documentées.

Il faut également assurer que les données sont inexploitables (ex : anonymisation ou pseudonymisation) si elles venaient à être “hackées”.

 À retenir

Vous avez accès aux bases de données du client contenant des données personnelles sur leurs salariés, clients, utilisateurs. Vous ne devez y accéder que si vous y êtes obligé(e), en protéger l’accès, et effacer toute donnée que vous pourriez avoir enregistrée.

Si vous travaillez sur le système d’information d’une entreprise ou son architecture, vous devez en assurer la sécurité.

Pour plus de précisions sur la sécurité des données personnelles, consultez le guide de la CNIL, notamment la checklist permettant d’évaluer le niveau de sécurité des données personnelles.

Graphisme

Motion design, Newsletter design, Illustrateur, Création PAO, UX designer…

À priori peu d’impact sauf pour les UX designers qui doivent prendre en compte l’objectif de protection des données personnelles et de la vie privée dès la conception du produit (« privacy by design« ).

 Quick action !

Dans le cadre de l’obligation de conseil, rappelez aussi à votre client les méthodes pour le recueil du consentement de ses clients avec, entre autres, une information claire et accessible. Évitez les mentions en lettres minuscules avec un astérisque.  Votre enjeu : l’aider à rendre l’information attractive tout en respectant les règles  (“Legal design”).

*Non exhaustif, ce récapitulatif est une vision “macro” et non figée des domaines impactés.