Vous êtes en portage salarial ? Le nouveau règlement européen sur la protection des données vous concerne. Comment vous mettre en conformité ?

Introduction :

Afin de mieux comprendre les nouvelles dispositions du Règlement Général de la Protection des Données (RGPD), MISSIONS-CADRES a contacté une juriste de la CNIL pour en savoir plus. Vous êtes professionnel en portage salarial ? Quels sont les éléments à vérifier pour que vos démarches de prospection et vos missions de sous-traitance soient conformes au nouveau texte de loi ?

Par Bernard Béguin, Secrétaire Général de MISSIONS-CADRES

Que faire avec les fichiers clients et prospects ?

Comme les textes de la convention collective sur le portage salarial [définition portage salarial] le prévoient, vous êtes autonome dans la prospection de votre clientèle ou dans la gestion de vos prix de vente. Une société de portage salarial ne pourra pas concrètement gérer votre mise en conformité à votre place.

Vous possédez un fichier clients et/ou prospects avec des données personnelles (nom, prénom, email, téléphone, adresse société à minima). A partir du 25 mai, il n’y aura plus de déclaration en ligne à faire auprès de la CNIL. Par contre, il vous incombe de vous assurer du contrôle continu de votre conformité avec le RGPD. Vous devez donc tenir un registre de données.

A télécharger : modèle de registre règlement européen
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Par ailleurs, la norme simplifiée 48 (NS48) précise les données que vous pouvez exploiter, vos obligations, la finalité de votre fichier (en l’occurrence « gestion commerciale »), les destinataires des données (sous-traitants ? Société de portage pour la facturation ? …), leur durée de vie : pas plus de 3 ans après la fin de la relation contractuelle avec le client ou le prospect. La nouvelle loi indique que vous devez opter pour la gestion de données à minima en rapport avec votre activité. Alors si le fait que votre contact aime les voyages à l’étranger ou a un chien n’est pas utile à votre prospection, mieux vaut simplifier votre fichier.

Télécharger ici la norme simplifiée NS48

[https://www.cnil.fr/fr/declaration/ns-048-fichiers-clients-prospects-et-vente-en-ligne]

Comment gérer votre site web de prestataire porté ?

• Le formulaire contact : vous devez mentionner les champs obligatoires et facultatifs et surtout définir avec précision les droits des personnes (droit de retrait, de portabilité, de suspension, etc.) en dessous du bouton « validation ») avec une adresse e-mail « contact responsable des données personnelles » pour que chacun puisse exercer son droit de retrait ou d’opposition.

Téléchargez ici le modèle type de formulaire de collecte des données    que vous pouvez insérer dans votre site :   https://www.cnil.fr/fr/modele/mention/formulaire-de-collecte-de-donnees-personnelles


Le fait que le prospect valide le formulaire vaut bien sûr comme    consentement, mais il faut que votre système informatique garde trace   d’une preuve.

• Les mentions légales : elles doivent préciser qui est le responsable du traitement des données, mentionner qu’un registre des données conformément à la loi est tenu, rappeler les droits des personnes, les informer qu’elles peuvent exercer leur droit à la portabilité (ils doivent être en mesure de récupérer leurs données sur un fichier lisible et facile à utiliser) et enfin préciser les mesures techniques de sécurité qui sont prises pour garantir la protection des informations collectées. Votre webmaster doit vous fournir ces éléments.

• Attention à l’utilisation des cookies !

Leur utilisation doit faire l’objet d’une information plus précise : finalités de leur utilisation, possibilité de s’opposer aux cookies et de changer de paramètres, la poursuite de la navigation vaut accord pour le dépôt des cookies.

Exemple de modèle de bandeau de cookie proposé par la CNIL :

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites].
Une page en savoir plus peut-être rajoutée : https://www.cnil.fr/fr/exemple-de-bandeau-cookie

Comment sécuriser vos données ?

En cas de perte de données, faille de sécurité, utilisation frauduleuse des informations concernant vos prospects et vos clients, vous êtes responsable. Vous devez en informer immédiatement les personnes concernées et leur détailler les mesures prises pour régler la situation. Pour ne pas en arriver là, soyez vigilant sur les points suivants :
• Sauvegarde régulière des fichiers, stockage des données sécurisé en cas de panne informatique.
• Système informatique protégé : antivirus, pare-feu, codes d’accès, …
• Demande de garanties sécurité auprès des sous-traitants de votre site web : webmaster et hébergeur. Leur co-responsabilité est engagée.

Vous êtes sous-traitant en portage salarial ? Quelles sont vos nouvelles obligations pour la protection des données que vous traitez ?

C’est une des nouveautés importantes du RGPD : la co-responsabilité des sous-traitants en cas de faille sur les données personnelles collectées et manipulées pour le compte du client. Les webmasters, les consultants informatiques en portage salarial [devenir consultant en portage salarial], les webmarketeurs portés sont particulièrement concernés.
Un schéma pour comprendre les responsabilités du consultant porté : Echanges de données CONTRAT DE PRESTATION EN PORTAGE SALARIAL AVEC LES CLAUSES « PROTECTION DES DONNEES MISES A JOUR ». </code></pre></li>

Les clauses à intégrer varient en fonction de la complexité du projet et du type de données traitées par le prestataire en portage salarial. D’autres obligations peuvent se rajouter si les données sont dites sensibles (étude d’impact) ou si l’activité principale du client est la gestion de données à grande échelle (obligation de nommer un délégué à la protection des données).
La rédaction précise du contrat de prestation en portage salarial devient dès lors un incontournable pour éviter tout contentieux.

En savoir plus ici sur les clauses types : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Un guide complet pour les sous-traitants a été édité par la CNIL.
Téléchargez le guide ici : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-un-guide-pour-accompagner-les-sous-traitants

A venir : La CNIL en partenariat avec la Banque Publique d’Investissement prépare un guide sur le RGPD spécialement conçu pour les TPE et PME. Il sera disponible sur leur site courant avril.
Si cet article passe en revue les principales obligations en matière de protection de données personnelles, il n’est pas exhaustif. Vous avez d’autres questions sur votre situation particulière ou un projet en tant que professionnel en portage [les avantages du portage] ? La CNIL vous répond pendant sa permanence juridique.
Contactez la CNIL au 01 53 73 22 22 pour des informations complémentaires.