Les artisans sont-ils concernes par le RGPD ?
Oui, tous les artisans sont concernes par le RGPD des lors qu’ils collectent des donnees personnelles, ce qui est le cas de pratiquement toutes les entreprises artisanales. Un plombier qui note le nom et l’adresse de ses clients, un electricien qui conserve des devis par courriel, un boulanger qui gere un fichier de fidelite : tous traitent des donnees personnelles et doivent respecter le reglement europeen.
La bonne nouvelle est que les obligations RGPD sont proportionnees a la taille de l’entreprise et a la nature des traitements. Un artisan travaillant seul n’aura pas les memes contraintes qu’une multinationale. La CNIL a d’ailleurs publie des guides simplifies pour les TPE et PME.
Les donnees personnelles traitees par un artisan
Un artisan traite generalement les donnees suivantes : identite et coordonnees des clients (nom, adresse, telephone, courriel), informations relatives aux devis et factures, coordonnees bancaires pour les encaissements, donnees des salaries s’il en emploie (dossier du personnel, paie, conges), donnees des fournisseurs et sous-traitants, et eventuellement des photos de chantier si elles montrent des elements identifiants.
Les obligations essentielles de l’artisan
L’artisan doit respecter cinq obligations fondamentales. Premierement, il doit tenir un registre des traitements qui recense l’ensemble des donnees personnelles qu’il collecte et utilise. La CNIL propose un modele simplifie telechargeable gratuitement sur son site. Deuxiemement, il doit informer ses clients de la collecte de leurs donnees, par exemple via une mention sur les devis et factures ou dans les conditions generales.
Troisiemement, l’artisan doit securiser les donnees : mot de passe sur l’ordinateur, verrouillage du telephone professionnel, rangement des dossiers papier dans un endroit ferme. Quatriemement, il doit respecter les durees de conservation : les devis non acceptes sont supprimes apres trois ans, les factures sont conservees dix ans. Cinquiemement, il doit repondre aux demandes des personnes qui souhaitent acceder a leurs donnees, les rectifier ou les supprimer.
Le registre des traitements simplifie
Pour un artisan, le registre des traitements peut etre un simple tableau listant les categories de donnees collectees, les finalites (gestion des clients, comptabilite, gestion du personnel), les destinataires (expert-comptable, banque), les durees de conservation et les mesures de securite. Ce registre peut etre tenu sur un simple fichier tableur.
Le site internet et les reseaux sociaux de l’artisan
De plus en plus d’artisans disposent d’un site internet vitrine ou d’une page sur les reseaux sociaux. Le site doit comporter des mentions legales, une politique de confidentialite et un bandeau de gestion des cookies si des traceurs sont utilises (Google Analytics, pixel Facebook). Les formulaires de contact doivent informer l’utilisateur du traitement de ses donnees.
Sur les reseaux sociaux, l’artisan doit veiller a ne pas publier de photos montrant des clients identifiables sans leur accord. Les avis clients contenant des donnees personnelles doivent etre geres avec precaution.
La relation avec l’expert-comptable
L’expert-comptable de l’artisan traite des donnees personnelles pour le compte de son client : facturation, paie, declarations sociales et fiscales. Il agit comme sous-traitant au sens du RGPD. Le contrat de mission de l’expert-comptable doit integrer les clauses RGPD relatives a la securite, la confidentialite et la restitution des donnees.
Les sanctions et les risques
Les sanctions RGPD sont proportionnees. La CNIL privilegiera toujours l’accompagnement et la mise en conformite avant de sanctionner un artisan de bonne foi. En revanche, en cas de plainte d’un client ou de violation de donnees (vol d’ordinateur, piratage), l’absence de mesures de protection pourrait etre reprochee a l’artisan.
Les reflexes RGPD au quotidien pour l’artisan
Quelques reflexes simples permettent a l’artisan d’etre conforme au quotidien : ne collecter que les donnees necessaires, ne pas conserver les devis refuses indefiniment, proteger son ordinateur et son telephone par un mot de passe, sauvegarder regulierement ses donnees, informer ses clients et ne pas partager les donnees sans raison valable. Ces habitudes protegent a la fois l’artisan et ses clients.
Article redige par Laurent de Cavel, DPO certifie.
