Le thème : Faut-il se préoccuper du RGPD quand on est une startup ? Une scale-up ? A partir de quel moment ? Quelle tolérance annonce la CNIL pour l’instant ? Pour qui : L’entrepreneur pressé qui n’a pas le temps de lire un article sur le RGPD (bref, un article qui va droit au but) |
D’accord, “techniquement”, sur le papier, le RGPD s’applique à tout le monde. Mais concrètement : quand on est une startup qui démarre, c’est à dire une petite structure, avec peu de moyens…. est-ce qu’il faut vraiment se préoccuper du RGPD ?
Malheureusement, on ne peut pas répondre à cette question à votre place. Mais on peut vous donner quelques éléments concrets pour vous décider.
SOMMAIRE :
1/ Ce qu’en dit la CNIL “officiellement”.... et plus discrètement
“La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement”
Marie-Laure Denis, Présidente de la CNIL
Le discours est tempéré (La CNIL “doit s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens”)... mais ce n'est pas pour autant qu'il faut s'attendre à beaucoup de souplesse :
“La CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté.”
Autrement dit : d'accord, la CNIL a fait preuve de patience en 2018, pour laisser le temps aux entreprises d'appréhender ce nouveau règlement et les changements qu'il implique. Mais cette souplesse, vis-à-vis notamment des petites entreprises, risque de ne plus durer très longtemps.
2/ Le "minimum viABLE" du RGPD
Le “MVP” du RGPD tient en trois mots : “Avoir un plan”.
La CNIL a prévenu : la tolérance ne durera pas éternellement. Selon la présidente, “la CNIL vérifiera à partir de maintenant le respect des obligations, [...] c’est la fin d’une forme de tolérance”.
Avoir un plan concret, pour rendre votre projet plus “RGPD-friendly”, est le minimum. En cas de contrôle, soyez en mesure de présenter à la CNIL un plan de route avec des étapes claires, pour parer au plus urgent.
Parmi les étapes à remplir :
- Rédigez une politique de confidentialité conforme au RGPD et des CGV claires (à jour du RGPD, tant qu’à faire)
- Gérez correctement l’opt-in sur vos emailing (“je demande le consentement”)
- Tenez à jour un registre (= à minima “une feuille excel”) dans laquelle vous listez les “points de collecte des données personnelles” (= chaque interaction où vous collectez potentiellement de la donnée permettant d’identifier l’un de vos utilisateurs)
3/ Prendre les bons réflexes (qui vont généralement dans le sens de l’utilisateur)
Contrairement aux gros mammouths (qui ont dû préparer le terrain pendant plusieurs mois, années pour commencer à se mettre à jour du RGPD), vous êtes une organisation jeune. Agile. Souple.
Votre travail n’est pas de tout reconstruire (pour mieux respecter les bonnes pratiques RGPD), mais plutôt de prendre les bons réflexes (pour que ces bonnes pratiques se retrouvent dans le produit, les logiciels, les communications, etc. bref : les expériences utilisateur que vous allez nous concocter dans les prochains mois).
4/ Sachez si vous êtes dans une activité "à risque"
Vous êtes dans une activité à risque si vous récoltez ou traitez des données dites sensibles, par exemple :
- Médicales
- Biométriques
- Liées à la nationalité
- Religieuses
- Etc.
Même verdict si vous traitez de la donnée personnelle “en masse” ou en dans le secteur de la blockchain.
Ces situations sont des champs de mine, et font probablement l’objet de contrôles renforcés de la part des instances.
Si vous vous trouvez dans l’une de ces situations, prenez les devants avec un avocat spécialisé et assurez-vous d’être couvert au maximum de vos possibilités.
Pour aller plus loin
Vous avez besoin d’une politique de confidentialité ? Nous pouvons vous en fournir une. C’est par ici.
Vous voulez faire le point avec un avocat spécialisé en Droit des Nouvelles Technologies ? Nous vous mettons en relation avec l’un d’eux.
Vous avez encore des questions sur le RGPD ? "Comment établir les documents à remettre en cas de contrôle ?", "Qu'en est-il de mes partenaires et sous-traitants ?" etc.
Ça tombe bien : nous avons édité un ebook gratuit sur le sujet.
Vous êtes vraiment curieux et vous voulez lire toute la documentation possible et imaginable sur le sujet ? Elle est (probablement) dispo sur le site de la CNIL. Avec en prime des ressources dédiées aux startups. C’est par ici > Comment adapter votre startup au RGPD ?