Si de nombreux freelances exercent leur activité professionnelle directement, in situ, chez leurs clients, d’autres en revanche travaillent depuis leur propre bureau. Les prestations intellectuelles réalisées au cours de ces missions par des consultants indépendants induisent forcément le transit, le traitement et le stockage de données propres à l’entreprise cliente.
Ces données peuvent revêtir différents degrés de sensibilité, soit parce qu’il s’agit de données personnelles soit parce qu’il s’agit de données stratégiques. Quoi qu’il en soit et quelle que soit la nature de ces données clients, leur gestion et leur traitement doivent être conformes à la réglementation en vigueur.
1# La Réglementation Générale sur la Protection des Données, la RGPD
La Réglementation Générale sur la Protection des Données, mieux connue sous son acronyme RGPD, est une norme européenne entrée en vigueur en 2018. La RGPD définit et encadre très clairement le traitement de toutes les données privées ou publiques de l’ensemble des résidents sur le territoire européen. Tous les freelances qui exercent leur activité sur le sol européen ou pour le compte de clients résidents en Europe doivent se conformer à cette réglementation. En France c’est la Commission Nationale de l’Informatique et des Libertés qui veille au bon respect et à l’application de la RGPD.
2# Quelles sont les données personnels sensibles des entreprises ?
Si l’ensemble des données de l’entreprise, également appelées Patrimoine Informel, sont des données sensibles et revêtent des enjeux stratégiques capitaux, seules les données concernant directement le personnel de la structure font l’objet d’un encadrement rigoureux défini par la RGPD. Ces données personnelles concernent les personnes physiques et non la personne morale que représente l’entité de l’entreprise. Il s’agit alors de porter un soin tout particulier aux informations permettant d’identifier un individu au regard de toutes les informations digitales le concernant. On considère ainsi les données bancaires, les origines ethniques, les opinions politiques, la situation de famille, les coordonnées, adresses mails, adresses IP, les informations de naissances, l’état de santé, les appartenances syndicales, l’ensemble des données médicales, sanitaires ou génétiques…
Bien qu’ils n’aient pas forcément besoin d’avoir accès à ces données concernant le personnel de l’entreprise, elles peuvent cependant être stockées dans des dossiers auxquels ils peuvent avoir accès. Même s’ils ne les consultent pas, ces données peuvent parfois être stockées, involontairement ou pas, sur leurs ordinateurs personnels ou transiter par des serveurs autres que ceux de l’entreprise. Les freelances sont alors responsables de ces données personnel le temps de leur mission mais également après, s’ils ne prennent pas le soin de les effacer.
3# Quels sont les devoirs des utilisateurs des données personnelles?
Dans leur qualité de sous traitants dûment mandatés par le responsable de l’entreprise, les freelances ont les mêmes devoirs et responsabilités que votre client concernant la gestion des données personnel de l’entreprise. Les consultants indépendants doivent se soumettre à un certain nombre d’exigences dans le cadre de leur sous-traitance.
3.1 L’obligation de traçabilité et de transparence
Afin de bien clarifier les rôles et responsabilités de chacun en matière de respect de la RGPD, le donneur d’ordres et le sous traitant doivent être unis par un contrat juridique qui définit clairement les obligations, le contenu et les pourtours de l’action menée par le sous traitant. Le sous traitant, pour sa part, doit être en capacité de prouver à donneur d’ordres la conformité à la RGPD des outils de travail qu’il est amené à utiliser dans le cadre du traitement des données du personnel de la structure pour laquelle il est missionné. D’autre part, le freelance, en sa qualité de sous traitant doit également tenir un registre des catégories d’activités de traitement dans lequel il inscrit les noms de ses clients et la manière dont il traite les données de chacun.
Le principe de protection des données personnelles de l’entreprise s’applique dès lors que le sous traitant prend connaissance de ces données et durant toute la durée de leur traitement et de leur conservation.
3.2 Obligation de garantie de sécurité des données traitées
Seuls les sous traitants autorisés par contrat ou accords préalables sont autorisés à accéder aux données de l’entreprise donneuse d’ordres. Il revient au consultant indépendant (freelance ou salarié d’une société de portage salarial), en sa qualité de sous-traitance, de tout mettre en œuvre pour prévenir et éviter toutes les fuites, le vol ou l’usurpation des données de l’entreprise clientes. Une fois son contrat signé, incluant, bien entendu un certain nombre de mentions spécifiques appelées Clauses contractuelles types, le sous traitant endosse les mêmes responsabilités légales quant à gestion des données du personnel que la direction de son client. C’est à lui de tout mettre en œuvre pour conserver la confidentialité de ces données et veiller à ce qu’elles sortent pas de leur cadre.
4# Comment protéger les données personnelles des clients lorsque vous les manipulez ?
Peu importe que vous soyez structuré vous aussi en entreprise, que vous soyez freelance ou sous le statut de salarié porté, le RGPD s’applique de la même manière à tous les types de données personnelles. Il va également de même pour les coordonnées bancaires de votre client que vous pouvez stocker en vue d’une facturation.
Vous devez, vous même, ou à l’aide d’une entreprise tierce assurer votre propre cybersécurité afin de protéger vos données clients et de toutes les informations concernant ce dernier, directement ou indirectement.
Pour ce faire, il convient en premier lieu de vérifier votre cybersécurité, la sécurisation de votre ou de vos accès internet, en fixe, comme en mobilité. Les connexions Wi-Fi extérieures sont rarement sécurisées. Lorsque vous vous trouvez dans des espaces publics tels qu’un espace de coworking ou un restaurant, assurez-vous d’utiliser un VPN privé. Assurez-vous également que les logiciels que vous utilisez respectent le RGPD et que vos outils de travail sont protégés par un antivirus efficace et d’un Firewall qui vous met à l’abri de logiciels malveillants.
Véritable gage de sérieux et de confiance, le respect strict du RGPD est un argument que tous les prospects devraient mettre en avant avec leurs prospects.
Pour tous les indépendants qui auraient quelques doutes quant à fiabilité de leur matériel ou de la sécurisation de leur réseau câblé ou Wi-Fi, il existe des cabinets de conseils spécialisés qui accompagnent tant les professionnels que les particuliers avec des méthodes de cryptage, de pseudonymisation voire même d’anonymisation. Ce n’est, bien souvent, qu’au prix de la mise en œuvre d’un plan d’action stratégique que les consultants pourront offrir à leurs clients la preuve d’un respect sans faille de la réglementation en vigueur.
5# La signature de Clauses Contractuelles
Rendues obligatoires depuis 2018, les Clauses Contractuelles Type viennent clarifier les devoirs et obligations des exportateurs (donneurs d’ordres) et des importateurs (sous traitants) de données. Évoluant également en fonction des nombreuses avancées technologiques et des nouveaux modes de travail, les Clauses Contractuelles Types sont incontournables. Les CCT doivent être conformes à l’article 28 du RGPD établi par l’Europe. Elles doivent préciser le type de traitement, sa durée, la nature des données traitées, les personnes concernées directement ou indirectement et ce, par catégories, ainsi que les obligations auxquelles doit se soumettre le sous traitant.
La rédaction de ces clauses contractuelles types n’est pas à prendre à la légère car, en cas de fuite ou de vol de données, les sanctions et les conséquences peuvent avoir de lourdes répercussions.
6# Les salariés portés Portageo toujours bien informés !
Chez Portageo, tous nos salariés portés ont accès à notre service d’assistance et de réponse d’Experts. De nombreux salariés se référent à notre service performant afin de recueillir les informations nécessaires tant en matière de cybersécurité qu’en rédaction des contrats qui les lient à leurs propres clients afin de respecter leurs obligations légales.
Les clauses contractuelles type évoluent régulièrement au gré des innovations technologiques et de besoins légaux imposés par les les pays de l’Union Européenne. Afin de s’assurer de la parfaite conformité des contrats qui les lient à leurs clients, les salariés portés Portageo se réfèrent à nos services d’information personnalisées. Comme tous les cadres légaux, la rédaction de contrat de sous traitance et plus spécifiquement les Clauses contractuelles types font appel à de nombreuses subtilités juridiques qui visent tant à protéger le sous traitant que les personnes dont les données personnelles sont manipulées. Ces clauses différent également si le donneur d’ordres est basé en dehors de l’UE ou si le consultant doit à son tour faire sous traiter ces données.
Vous l’aurez bien compris, chez Portageo nous mettons tout en œuvre pour que chacun de nos consultants puisse se concentrer sur son coeur de métier.