BLOG AIDE
    S'inscrire ou Se connecter

    (Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

    Gestion d'entreprise
    Captain Contrat
    LE
    4min

    Le thème : Faut-il se préoccuper du RGPD quand on est une startup ? Une scale-up ? A partir de quel moment ? Quelle tolérance annonce la CNIL pour l’instant ?

    Pour qui : L’entrepreneur pressé qui n’a pas le temps de lire un article sur le RGPD (bref, un article qui va droit au but)

     

    D’accord, “techniquement”, sur le papier, le RGPD s’applique à tout le monde. Mais concrètement : quand on est une startup qui démarre, c’est à dire une petite structure, avec peu de moyens…. est-ce qu’il faut vraiment se préoccuper du RGPD ?


    Le RGPD pour les startups

     

    Malheureusement, on ne peut pas répondre à cette question à votre place. Mais on peut vous donner quelques éléments concrets pour vous décider.

    1/ Ce qu’en dit la CNIL “officiellement”.... et plus discrètement

    La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement

    Marie-Laure Denis, Présidente de la CNIL

    Le discours est tempéré (La CNIL “doit s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens”)... mais ce n'est pas pour autant qu'il faut s'attendre à beaucoup de souplesse :

    La CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté.” 

    Autrement dit : d'accord, la CNIL a fait preuve de patience en 2018, pour laisser le temps aux entreprises d'appréhender ce nouveau règlement et les changements qu'il implique. Mais cette souplesse, vis-à-vis notamment des petites entreprises, risque de ne plus durer très longtemps. 

    2/ Le "minimum viABLE" du RGPD

    Le “MVP” du RGPD tient en trois mots : “Avoir un plan”.

    La CNIL a prévenu : la tolérance ne durera pas éternellement. Selon la présidente, “la CNIL vérifiera à partir de maintenant le respect des obligations, [...] c’est la fin d’une forme de tolérance”.

    Avoir un plan concret, pour rendre votre projet plus “RGPD-friendly”, est le minimum. En cas de contrôle, soyez en mesure de présenter à la CNIL un plan de route avec des étapes claires, pour parer au plus urgent.

    Parmi les étapes à remplir  :

    • Ayez une politique de confidentialité et des CGV claires (à jour du RGPD, tant qu’à faire)
    • Gérez correctement l’opt-in sur vos emailing (“je demande le consentement”)
    • Tenez à jour un registre (= à minima “une feuille excel”) dans laquelle vous listez les “points de collecte des données personnelles” (= chaque interaction où vous collectez potentiellement de la donnée permettant d’identifier l’un de vos utilisateurs)

    3/ Prendre les bons réflexes (qui vont généralement dans le sens de l’utilisateur)

    Contrairement aux gros mammouths (qui ont dû préparer le terrain pendant plusieurs mois, années pour commencer à se mettre à jour du RGPD), vous êtes une organisation jeune. Agile. Souple.

    Votre travail n’est pas de tout reconstruire (pour mieux respecter les bonnes pratiques RGPD), mais plutôt de prendre les bons réflexes (pour que ces bonnes pratiques se retrouvent dans le produit, les logiciels, les communications, etc. bref : les expériences utilisateur que vous allez nous concocter dans les prochains mois).

    4/ Sachez si vous êtes dans une activité "à risque"

    Vous êtes dans une activité à risque si vous récoltez ou traitez des données dites sensibles, par exemple : 

    • Médicales
    • Biométriques
    • Liées à la nationalité
    • Religieuses
    • Etc.

    Même verdict si vous traitez de la donnée personnelle “en masse” ou en dans le secteur de la blockchain. 

    Ces situations sont des champs de mine, et font probablement l’objet de contrôles renforcés de la part des instances.

    Si vous vous trouvez dans l’une de ces situations, prenez les devants avec un avocat spécialisé et assurez-vous d’être couvert au maximum de vos possibilités.

    Pour aller plus loin

    Vous avez besoin d’une politique de confidentialité ? Nous pouvons vous en fournir une. C’est par ici.

    Rédigez votre charte de protection des données personnelles en quelques clics  Je rédige ma charte


    Vous voulez faire le point avec un avocat spécialisé en Droit des Nouvelles Technologies ? Nous vous mettons en relation avec l’un d’eux. 


    Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne


    Vous avez encore des questions sur le RGPD ? "Comment établir les documents à remettre en cas de contrôle ?", "Qu'en est-il de mes partenaires et sous-traitants ?" etc.

    Ça tombe bien : nous avons édité un ebook gratuit sur le sujet.

    Téléchargez le guide gratuit du RGPD

    Vous êtes vraiment curieux et vous voulez lire toute la documentation possible et imaginable sur le sujet ? Elle est (probablement) dispo sur le site de la CNIL. Avec en prime des ressources dédiées aux startups. C’est par ici > Comment adapter votre startup au RGPD ?  

     

     

    Encore des questions sur le RGPD ? Consultez un avocat spécialisé Je consulte  un avocat en ligne

    Donnez votre avis
    TOPICS RGPD
      ARTICLES SIMILAIRES
      CGV_conforme_RGPD

      RGPD

      CGV conformes au RGPD : quelles sont les modifications à apporter ?

      RGPD 4

      RGPD

      RGPD : qui est concerné ?

      RGPD_Logiciel_Saas

      RGPD

      Modèle de contrat SaaS : un pari risqué avec le RGPD ?

      rgpd_questionnaire

      RGPD

      RGPD : évaluez en 20 questions la conformité de votre entreprise

      Amélie Gautier
      A propos de Amélie Gautier

      Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

      COMMENTAIRES