Freelance & RGPD : quels sont vos “must do” opérationnels ?

La mise en application du RGPD a fait l’effet d’un “petit” bouleversement au sein des grands groupes, des PME et TPE… Mais aussi pour vous, en tant que freelance. Dans la première partie de ce dossier dédié à la RGPD, nous avons fait un premier panorama des types de missions et clients susceptibles d’être impactés. Mais concrètement, qu’est-ce que cela signifie pour vous au quotidien ? Quelles sont les conséquences opérationnelles du RGPD pour votre collaboration avec les clients?  Contrat, assurance, organisation, livrables… Nous vous proposons un récapitulatif des grands changements opérationnels à prendre en compte.

  1. Cadrez votre mission : mise à jour du contrat et point sur votre assurance

  • Le prérequis à toute contractualisation est de “checker” votre Responsabilité Civile et l’évolution des clauses que propose l’assureur en ce qui concerne le RGPD. Est-ce qu’elle prend en charge le risque d’incidents ? À quelle hauteur ? Pour quel(s) cas ? Que vous passiez en direct ou par un intermédiaire, la RC est essentielle pour vous protéger en cas de litige. Pour ceux qui passent en direct sur notre plateforme, les clauses de la RC Pro offerte par Malt – proposée pour tous les devis validés sur la plateforme – ont été mises à jour afin de protéger le travail des freelances.
  • Autre point important, le contrat : pour déterminer les obligations respectives des responsables de traitements et des sous-traitants, il est nécessaire de rédiger un contrat. Il prévoit une clause spécifique sur la protection des données personnelles. Des exemples sont disponibles sur le site internet de la CNIL.
  1. Mettez en place une nouvelle organisation et des processus clairs  :

  • Les sous-traitants ont une obligation de conseil auprès de leurs clients et ce dès la conception du service ou du produit. Ceci implique qu’en début de mission, il vous faut lister tous les points RGPD “à risque” et les partager avec votre client afin de bien intégrer ce nouveau paramètre dans la réalisation des livrables : choix d’un logiciel, la création d’e-mailing, hébergeur, champs dans un ERP… N’hésitez pas à les inviter, le cas échéant, à se rapprocher d’un spécialiste de la matière.
  • Pour assurer la mise en conformité, des points d’étape avec des acteurs tiers seront nécessaires : le DPD/DPO – Délégué à la Protection des Données/Data Protection Officer -, si l’entreprise en a désigné un, devra valider la mise en œuvre de certaines obligations du règlement. Notre recommandation : dès le début d’une mission, prenez contact avec le DPD/DPO de votre client afin de l’intégrer dans les prises de décision et les validations. Cela implique peut-être des cercles de validation supplémentaires mais vous éviterez les mauvaises surprises à mi-parcours.
  • Si votre client subit une violation de données et qu’elle est susceptible de porter atteinte aux droits et libertés, la CNIL doit en être informée dans les 72h ainsi que, si la violation est susceptible d’engendrer un risque élevé pour leurs droits, les personnes concernées. Attention, si vous-même subissez une violation de données impactant celles traitées pour le compte de votre client, vous devez la lui notifier pour qu’il puisse en faire part, à son tour, à la CNIL et, le cas échéant, aux personnes concernées et prendre les mesures éventuellement nécessaires.
  • Si une personne demande à exercer son “droit à l’oubli”, vous devez peut-être aider votre client à répondre à la demande. Si vous pensez devoir intervenir dans la procédure, rapprochez-vous du DPO ou échangez avec votre client à ce sujet. 
  1. Réalisez les livrables exigés et n’oubliez pas vos obligations en tant que sous-traitant :

  • En tant que sous-traitant, vous devez tenir un registre des traitements commun avec vos propres traitements et ceux de vos clients. Si un client demande un extrait du registre, envoyez-lui vos traitements propres et ceux du client, en masquant bien les autres clients ! Les détails et des exemples de registres sont disponibles sur cet article du site de la CNIL. Vous pouvez également télécharger un modèle de registre de traitement de données spécifique aux freelances proposé par MaltNotre recommandation : cadrez avec le DPO de votre client ce nouveau livrable afin de bien vous aligner sur ce qui est attendu.
  • Votre client, en tant que responsable de traitement, doit réaliser une analyse d’impact des traitements dans certains cas définis par le RGPD, à l’article 35. La réalisation d’une telle analyse ne relève pas de votre périmètre mais, s’il vous le demande,vous devrez l’aider dans sa conduite et lui fournir toutes les informations nécessaires.

Besoin d’être guidé ? Il existe un chatbot baptisé GDPRAdvisor qui vous propose d’évaluer la situation de votre client ou même la vôtre à l’aide de questions. En fonction des réponses, il liste les étapes à suivre et redirige l’utilisateur vers des contenus publiés par la CNIL.

Pour des questions plus ciblées sur le contrat, l’assurance et d’autres aspects spécifiques aux freelances, n’hésitez pas à contacter les équipes Malt.

Auteur : Laure Girardot

communication & rédaction RH/ QVT -> My Happy Job, Wehobby, My Bridge, Welcome to the Jungle, BPI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *