1. Gestion
  2. Politique de confidentialité - RGPD
  3. (Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

(Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD
Maxime Wagner
Écrit par Maxime Wagner
Cofondateur de Captain Contrat, Maxime a débuté en analyse de risque financier et a évolué sur des enjeux d'innovation dans la distribution. Il est diplômé de Centrale Lille et l'ESSEC.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Le thème : Faut-il se préoccuper du RGPD quand on est une startup ? Une scale-up ? A partir de quel moment ? Quelle tolérance annonce la CNIL pour l’instant ?

Pour qui : L’entrepreneur pressé qui n’a pas le temps de lire un article sur le RGPD (bref, un article qui va droit au but)

 

D’accord, “techniquement”, sur le papier, le RGPD s’applique à tout le monde. Mais concrètement : quand on est une startup qui démarre, c’est à dire une petite structure, avec peu de moyens…. est-ce qu’il faut vraiment se préoccuper du RGPD ?

Malheureusement, on ne peut pas répondre à cette question à votre place. Mais on peut vous donner quelques éléments concrets pour vous décider.

 

 

1/ Ce qu’en dit la CNIL “officiellement”.... et plus discrètement

 

La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement

Marie-Laure Denis, Présidente de la CNIL

Le discours est tempéré (La CNIL “doit s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens”)... mais ce n'est pas pour autant qu'il faut s'attendre à beaucoup de souplesse :

La CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté.” 

Autrement dit : d'accord, la CNIL a fait preuve de patience en 2018, pour laisser le temps aux entreprises d'appréhender ce nouveau règlement et les changements qu'il implique. Mais cette souplesse, vis-à-vis notamment des petites entreprises, risque de ne plus durer très longtemps. 

2/ Le "minimum viABLE" du RGPD

 

Le “MVP” du RGPD tient en trois mots : “Avoir un plan”.

La CNIL a prévenu : la tolérance ne durera pas éternellement. Selon la présidente, “la CNIL vérifiera à partir de maintenant le respect des obligations, [...] c’est la fin d’une forme de tolérance”.

Avoir un plan concret, pour rendre votre projet plus “RGPD-friendly”, est le minimum. En cas de contrôle, soyez en mesure de présenter à la CNIL un plan de route avec des étapes claires, pour parer au plus urgent.

Parmi les étapes à remplir  :

  • Rédigez une politique de confidentialité conforme au RGPD et des CGV claires (à jour du RGPD, tant qu’à faire)
  • Gérez correctement l’opt-in sur vos emailing (“je demande le consentement”)
  • Tenez à jour un registre (= à minima “une feuille excel”) dans laquelle vous listez les “points de collecte des données personnelles” (= chaque interaction où vous collectez potentiellement de la donnée permettant d’identifier l’un de vos utilisateurs)

3/ Prendre les bons réflexes (qui vont généralement dans le sens de l’utilisateur)

 

Contrairement aux gros mammouths (qui ont dû préparer le terrain pendant plusieurs mois, années pour commencer à se mettre à jour du RGPD), vous êtes une organisation jeune. Agile. Souple.

Votre travail n’est pas de tout reconstruire (pour mieux respecter les bonnes pratiques RGPD), mais plutôt de prendre les bons réflexes (pour que ces bonnes pratiques se retrouvent dans le produit, les logiciels, les communications, etc. bref : les expériences utilisateur que vous allez nous concocter dans les prochains mois).

4/ Sachez si vous êtes dans une activité "à risque"

 

Vous êtes dans une activité à risque si vous récoltez ou traitez des données dites sensibles, par exemple : 

  • Médicales
  • Biométriques
  • Liées à la nationalité
  • Religieuses
  • Etc.

Même verdict si vous traitez de la donnée personnelle “en masse” ou en dans le secteur de la blockchain. 

Ces situations sont des champs de mine, et font probablement l’objet de contrôles renforcés de la part des instances.

Si vous vous trouvez dans l’une de ces situations, prenez les devants avec un avocat spécialisé et assurez-vous d’être couvert au maximum de vos possibilités.

Pour aller plus loin

 

Vous avez besoin d’une politique de confidentialité ? Nous pouvons vous en fournir une. C’est par ici.


Vous voulez faire le point avec un avocat spécialisé en Droit des Nouvelles Technologies ? Nous vous mettons en relation avec l’un d’eux. 


Vous avez encore des questions sur le RGPD ? "Comment établir les documents à remettre en cas de contrôle ?", "Qu'en est-il de mes partenaires et sous-traitants ?" etc.

Ça tombe bien : nous avons édité un ebook gratuit sur le sujet.

 

Vous êtes vraiment curieux et vous voulez lire toute la documentation possible et imaginable sur le sujet ? Elle est (probablement) dispo sur le site de la CNIL. Avec en prime des ressources dédiées aux startups. C’est par ici > Comment adapter votre startup au RGPD ?  

 

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

La mise en conformité au RGPD implique de nombreuses mesures, notamment sur la rédaction des CGV. Mais les CGV e-commerce ne sont pas les seules visées : mentions légales, cookies, politique de confidentialité sont également indispensables pour votre site. Me Lefroy vous guide

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier