Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. (Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

(Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

Maxime Wagner
Écrit par Maxime Wagner Cofondateur de Captain Contrat et diplômé de Centrale Lille et de l'ESSEC

Le thème : Faut-il se préoccuper du RGPD quand on est une startup ? Une scale-up ? A partir de quel moment ? Quelle tolérance annonce la CNIL pour l’instant ?

Pour qui : L’entrepreneur pressé qui n’a pas le temps de lire un article sur le RGPD (bref, un article qui va droit au but)

 

D’accord, “techniquement”, sur le papier, le RGPD s’applique à tout le monde. Mais concrètement : quand on est une startup qui démarre, c’est à dire une petite structure, avec peu de moyens…. est-ce qu’il faut vraiment se préoccuper du RGPD ?

Malheureusement, on ne peut pas répondre à cette question à votre place. Mais on peut vous donner quelques éléments concrets pour vous décider.

 

 

1/ Ce qu’en dit la CNIL “officiellement”.... et plus discrètement

 

La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement

Marie-Laure Denis, Présidente de la CNIL

Le discours est tempéré (La CNIL “doit s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens”)... mais ce n'est pas pour autant qu'il faut s'attendre à beaucoup de souplesse :

La CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté.” 

Autrement dit : d'accord, la CNIL a fait preuve de patience en 2018, pour laisser le temps aux entreprises d'appréhender ce nouveau règlement et les changements qu'il implique. Mais cette souplesse, vis-à-vis notamment des petites entreprises, risque de ne plus durer très longtemps. 

2/ Le "minimum viABLE" du RGPD

 

Le “MVP” du RGPD tient en trois mots : “Avoir un plan”.

La CNIL a prévenu : la tolérance ne durera pas éternellement. Selon la présidente, “la CNIL vérifiera à partir de maintenant le respect des obligations, [...] c’est la fin d’une forme de tolérance”.

Avoir un plan concret, pour rendre votre projet plus “RGPD-friendly”, est le minimum. En cas de contrôle, soyez en mesure de présenter à la CNIL un plan de route avec des étapes claires, pour parer au plus urgent.

Parmi les étapes à remplir  :

  • Rédigez une politique de confidentialité conforme au RGPD et des CGV claires (à jour du RGPD, tant qu’à faire)
  • Gérez correctement l’opt-in sur vos emailing (“je demande le consentement”)
  • Tenez à jour un registre (= à minima “une feuille excel”) dans laquelle vous listez les “points de collecte des données personnelles” (= chaque interaction où vous collectez potentiellement de la donnée permettant d’identifier l’un de vos utilisateurs)

3/ Prendre les bons réflexes (qui vont généralement dans le sens de l’utilisateur)

 

Contrairement aux gros mammouths (qui ont dû préparer le terrain pendant plusieurs mois, années pour commencer à se mettre à jour du RGPD), vous êtes une organisation jeune. Agile. Souple.

Votre travail n’est pas de tout reconstruire (pour mieux respecter les bonnes pratiques RGPD), mais plutôt de prendre les bons réflexes (pour que ces bonnes pratiques se retrouvent dans le produit, les logiciels, les communications, etc. bref : les expériences utilisateur que vous allez nous concocter dans les prochains mois).

4/ Sachez si vous êtes dans une activité "à risque"

 

Vous êtes dans une activité à risque si vous récoltez ou traitez des données dites sensibles, par exemple : 

  • Médicales
  • Biométriques
  • Liées à la nationalité
  • Religieuses
  • Etc.

Même verdict si vous traitez de la donnée personnelle “en masse” ou en dans le secteur de la blockchain. 

Ces situations sont des champs de mine, et font probablement l’objet de contrôles renforcés de la part des instances.

Si vous vous trouvez dans l’une de ces situations, prenez les devants avec un avocat spécialisé et assurez-vous d’être couvert au maximum de vos possibilités.

Pour aller plus loin

 

Vous avez besoin d’une politique de confidentialité ? Nous pouvons vous en fournir une. C’est par ici.


Vous voulez faire le point avec un avocat spécialisé en Droit des Nouvelles Technologies ? Nous vous mettons en relation avec l’un d’eux. 


Vous avez encore des questions sur le RGPD ? "Comment établir les documents à remettre en cas de contrôle ?", "Qu'en est-il de mes partenaires et sous-traitants ?" etc.

Ça tombe bien : nous avons édité un ebook gratuit sur le sujet.

 

Vous êtes vraiment curieux et vous voulez lire toute la documentation possible et imaginable sur le sujet ? Elle est (probablement) dispo sur le site de la CNIL. Avec en prime des ressources dédiées aux startups. C’est par ici > Comment adapter votre startup au RGPD ?  

 

Besoin de conseils juridiques ?
Consulter un avocat spécialisé en RGPD

Ces articles pourraient également vous intéresser

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

Avocat en RGPD à Bordeaux : quelles solutions pour le trouver ?
3 min
Avocat en RGPD à Bordeaux : quelles solutions pour le trouver ?

Votre entreprise basée à Bordeaux n'est pas à jour sur les sujets RGPD ? Contactez un avocat en RGPD ! Ce professionnel vous accompagner dans le processus de mise en conformité.

Avocat en RGPD à Marseille : comment trouver le bon ?
3 min
Avocat en RGPD à Marseille : comment trouver le bon ?

A la tête d'une entreprise à Marseille, vous souhaitez vous mettre à jour sur le sujet RGPD ? L'avocat en RGPD est tout indiqué ! Il est le partenaire idéal pour vous accompagner dans cette démarche.

Les solutions pour trouver un avocat en RGPD à Lyon
4 min
Les solutions pour trouver un avocat en RGPD à Lyon

Installé à Lyon, vous souhaitez appliquer le RGPD au sein de votre entreprise ? Faites appel à un avocat en RGPD ! Il est le plus à même de vous conseiller vous accompagner tout au long du processus de mise en conformité.

Avocat en RGPD à Nice : mode d'emploi pour le trouver
4 min
Avocat en RGPD à Nice : mode d'emploi pour le trouver

RGPD, données personnelles, conformité... Faites appel à un avocat en RGPD dans la région de Nice. Il saura vous conseiller et vous aider dans la mise en place des différentes actions pour vous mettre en conformité.

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023
2 min
RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023

Le RGPD est entré en vigueur le 25 mai 2018. Nombre de dirigeants ne maitrisent pas entièrement le périmètre de cette réforme. Ce questionnaire vous permettra d'évaluer votre situation en 2023.

CGV conformes au RGPD : quelles sont les modifications à apporter ?
4 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?

Vous êtes concernés par le RGPD mais n'avez pas encore pris les mesures pour vous mettre en conformité ? La première étape consiste à mettre à jour vos CGV. Le point dans cet article

RGPD : le nombre de plaintes à la Cnil a-t-il explosé ?
2 min
RGPD : le nombre de plaintes à la Cnil a-t-il explosé ?

Alors que le RGPD (Règlement européen sur la protection des données) est entré en vigueur le 25 mai 2018, la CNIL chargé d’en vérifier la bonne application a déjà reçu une avalanche de plaintes. Le point sur les entreprises visées et les plaintes reçues.

RGPD : quelle est la procédure de sanction ?
5 min
RGPD : quelle est la procédure de sanction ?

Mais que se passe-t-il en cas de non-respect du RGPD ? Quelles sont les sanctions susceptibles d’être prononcées à l’égard des responsables de traitement qui ne respecteraient pas ses dispositions ?

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier