Comment combiner confinement et aide à la déclaration de revenus ? L’actualité sanitaire, en interdisant les rencontres physiques avec les clients, a initié un développement sans précédent des communications digitalisées. Pour autant, la seule bonne volonté d’aider ne suffit pas et n’exonère en rien de respecter des règles particulières attachées à ces nouveaux modes de communication.
Vous allez assister vos clients dans la préparation de leurs déclarations de revenus.
Quelques précisions sont nécessaires, tant du point de vue de la situation sanitaire qui nous impose à tous de respecter un confinement strict et rend obligatoire de ce fait les communications électroniques, que du point de vue réglementaire issu du RGPD (Règlement Général de Protection des Données).
Les points évoqués ici ne sont que des rappels et ne sauraient être considérés comme une consultation juridique exhaustive ou une norme applicable en l’état.
Ces règles s’appliquent à tous, que vous soyez ou non à l’origine de la collecte de ces informations.
Une attention toute particulière sera cependant nécessaire lorsque le conseiller aura mis en place un système complet de collecte des informations et sera à l’origine d’un tel procédé (on imagine ici une campagne généralisée auprès de ses clients).
Pour mémoire, le fameux RGPD, entré en vigueur le 25 mai 2018, renforce les droits de personnes et responsabilise les organismes, privés ou publics, qui collectent et traitent leurs données.
En effet, s’il est légitime et autorisé de collecter des données dans le cadre de son activité professionnelle, ces données doivent être strictement nécessaires à l’activité pour laquelle elles sont récoltées et parfaitement proportionnées.
En outre, les personnes propriétaires de ces données disposent de nombreux droits qu’il convient de rendre effectifs en pratique.
Enfin, le traitement de ces données est également très encadré. Dans le cadre de la campagne d’assistance à vos clients pour leur déclaration de revenus, il est nécessaire de procéder par étapes.
1. Déterminer les informations nécessaires
Toutes les données ne peuvent pas être collectées.
Ainsi, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Parmi ces données figurent les données sensibles qui forment une catégorie particulière des données personnelles.
Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
Le RGPD interdit de recueillir ou d’utiliser ces données, sauf, notamment et dans les cas qui nous intéressent, dans les cas suivants :
- si la personne concernée a donné son consentement exprès (démarche active, explicite et de préférence écrite, qui doit être libre, spécifique, et informée) ;
- si les informations sont manifestement rendues publiques par la personne concernée.
- Il est donc essentiel de prévoir à l’origine quelles seront les données à collecter et de s’assurer qu’elles ne répondent pas à cette catégorisation.
Si tel est le cas, alors le consentement devra être expressément recueilli.
Cependant, il apparait peu probable que ces données sensibles soient ici nécessaires (sauf l’hypothèse d’un handicap ou l’appartenance à un syndicat pour bénéficier d’avantages fiscaux particuliers par exemple).
La grille de collecte des données devra donc scrupuleusement respecter ces règles et supprimer toute information qui ne sera pas directement nécessaire et utilisable.
Tout commentaire relatif à ces données sensibles sera également proscrit.
2. Prévoir le cadre de collecte
Par cadre de collecte, il faut comprendre à la fois le document de synthèse de ces informations, qui sera consultable par la personne concernée sur simple demande, mais notamment aussi :
3. Recueillir le consentement
Le client qui aura donné son consentement pour la collecte et le traitement de ses données personnelles devra avoir eu la possibilité de connaître les tenants et les aboutissants de cette opération.
Ce n’est qu’une fois son consentement éclairé que la collecte pourra se réaliser.
Pour ce faire, un document clair et précis détaillant la finalité, les modalités de traitement et celles de conservation sera préalablement établi et mis à disposition du client.
Du fait de l’importance du sujet traité et des informations communiquées, une attention particulière sera portée au recueil de ce consentement.
Un message rédigé par le client qui exposera clairement son accord sera préféré à la seule réponse à un mail de sollicitation (présumant d’un accord tacite).
4. Récupérer les données
Il s’agit ici d’un point essentiel, pourtant régulièrement négligé.
S’agissant de la récupération du consentement comme de celle des pièces et éléments nécessaire à l’assistance à la déclaration, il faudra prohiber les messageries les moins sécurisées comme les webmails grand public qui n’offrent pas un niveau de sécurité suffisant selon les termes mêmes de la CNIL !
Plusieurs solutions existent :
- Une procédure de chiffrement des messages
- La mise en place d’un serveur HTTPS
- Le recours à une plateforme sécurisée d’échange et partage de documents
5. Consultation et rectification par la personne concernée
Toute personne dispose du droit de vérifier les données que vous détenez la concernant et de les faire rectifier.
Vous devez rendre ce droit effectif en prévoyant ses modalités d’exercice. Afin de faciliter la mise en place de ce dernier et le traitement des demandes éventuelles, il sera judicieux de créer une adresse mail spécifique dédiée à ces questions, et de la porter à la connaissance de vos clients.
Vous disposerez par la suite d'un délai d'un mois pour répondre à toute demande parvenant à cette adresse spécifique, du type [email protected].
6. Les sanctions encourues
La CNIL, informée des infractions, peut prononcer diverses sanctions.
Ces dernières vont du simple rappel à l’ordre à l’amende administrative, en passant par l’injonction de remise en état ou l’interdiction temporaire ou définitive des données.
Les sanctions pécuniaires quant à elles peuvent s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaire (le montant le plus élevé étant alors seul pris en compte).
Des sanctions pénales sont également prévues (jusqu’à 300.000 € d’amende et 5 ans d’emprisonnement).
Conclusion
- Vous êtes responsable de la conservation et du traitement des données que vous aurez recueillies
- Vous devez déterminer les données strictement nécessaires à votre activité
- Vous devez en assurer la sécurité en prohibant des solutions à la fiabilité technique non suffisantes : on ne transmet pas des pièces d’identité ou des bulletins de salaire via gmail, hotmail ou autre adresse de webmail gratuit.
- Vous devez porter l’ensemble des dispositions et moyens que vous retenez pour mener votre mission à la connaissance de vos clients, et ce de façon préalable au recueil.
Pour accéder au site, cliquez ICI.