(Fiche pratique) RGPD : les startups sont-elles vraiment concernées ?

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

Le thème : Faut-il se préoccuper du RGPD quand on est une startup ? Une scale-up ? A partir de quel moment ? Quelle tolérance annonce la CNIL pour l’instant ?

Pour qui : L’entrepreneur pressé qui n’a pas le temps de lire un article sur le RGPD (bref, un article qui va droit au but)

 

D’accord, “techniquement”, sur le papier, le RGPD s’applique à tout le monde. Mais concrètement : quand on est une startup qui démarre, c’est à dire une petite structure, avec peu de moyens…. est-ce qu’il faut vraiment se préoccuper du RGPD ?

Malheureusement, on ne peut pas répondre à cette question à votre place. Mais on peut vous donner quelques éléments concrets pour vous décider.

1/ Ce qu’en dit la CNIL “officiellement”.... et plus discrètement

 

La CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement

Marie-Laure Denis, Présidente de la CNIL

Le discours est tempéré (La CNIL “doit s’adapter aux spécificités des acteurs qui n’ont pas tous les mêmes moyens”)... mais ce n'est pas pour autant qu'il faut s'attendre à beaucoup de souplesse :

La CNIL a volontairement fait preuve de patience et de tolérance car le RGPD est un changement profond. Mais, même s’il est entré en application depuis seulement un an, le règlement a été adopté en 2016, il y a trois ans. Je considère qu’il faut désormais faire preuve de davantage de fermeté.” 

Autrement dit : d'accord, la CNIL a fait preuve de patience en 2018, pour laisser le temps aux entreprises d'appréhender ce nouveau règlement et les changements qu'il implique. Mais cette souplesse, vis-à-vis notamment des petites entreprises, risque de ne plus durer très longtemps. 

2/ Le "minimum viABLE" du RGPD

 

Le “MVP” du RGPD tient en trois mots : “Avoir un plan”.

La CNIL a prévenu : la tolérance ne durera pas éternellement. Selon la présidente, “la CNIL vérifiera à partir de maintenant le respect des obligations, [...] c’est la fin d’une forme de tolérance”.

Avoir un plan concret, pour rendre votre projet plus “RGPD-friendly”, est le minimum. En cas de contrôle, soyez en mesure de présenter à la CNIL un plan de route avec des étapes claires, pour parer au plus urgent.

Parmi les étapes à remplir  :

  • Rédigez une politique de confidentialité conforme au RGPD et des CGV claires (à jour du RGPD, tant qu’à faire)
  • Gérez correctement l’opt-in sur vos emailing (“je demande le consentement”)
  • Tenez à jour un registre (= à minima “une feuille excel”) dans laquelle vous listez les “points de collecte des données personnelles” (= chaque interaction où vous collectez potentiellement de la donnée permettant d’identifier l’un de vos utilisateurs)

3/ Prendre les bons réflexes (qui vont généralement dans le sens de l’utilisateur)

 

Contrairement aux gros mammouths (qui ont dû préparer le terrain pendant plusieurs mois, années pour commencer à se mettre à jour du RGPD), vous êtes une organisation jeune. Agile. Souple.

Votre travail n’est pas de tout reconstruire (pour mieux respecter les bonnes pratiques RGPD), mais plutôt de prendre les bons réflexes (pour que ces bonnes pratiques se retrouvent dans le produit, les logiciels, les communications, etc. bref : les expériences utilisateur que vous allez nous concocter dans les prochains mois).

4/ Sachez si vous êtes dans une activité "à risque"

 

Vous êtes dans une activité à risque si vous récoltez ou traitez des données dites sensibles, par exemple : 

  • Médicales
  • Biométriques
  • Liées à la nationalité
  • Religieuses
  • Etc.

Même verdict si vous traitez de la donnée personnelle “en masse” ou en dans le secteur de la blockchain. 

Ces situations sont des champs de mine, et font probablement l’objet de contrôles renforcés de la part des instances.

Si vous vous trouvez dans l’une de ces situations, prenez les devants avec un avocat spécialisé et assurez-vous d’être couvert au maximum de vos possibilités.

Pour aller plus loin

 

Vous avez besoin d’une politique de confidentialité ? Nous pouvons vous en fournir une. C’est par ici.


Vous voulez faire le point avec un avocat spécialisé en Droit des Nouvelles Technologies ? Nous vous mettons en relation avec l’un d’eux. 


Vous avez encore des questions sur le RGPD ? "Comment établir les documents à remettre en cas de contrôle ?", "Qu'en est-il de mes partenaires et sous-traitants ?" etc.

Ça tombe bien : nous avons édité un ebook gratuit sur le sujet.

 

Vous êtes vraiment curieux et vous voulez lire toute la documentation possible et imaginable sur le sujet ? Elle est (probablement) dispo sur le site de la CNIL. Avec en prime des ressources dédiées aux startups. C’est par ici > Comment adapter votre startup au RGPD ?  

Maxime

Écrit par

Maxime

Après avoir travaillé en finance à l'international puis dans la grande distribution en France, Maxime est devenu dirigeant d'entreprise. En contact avec de nombreux entrepreneurs, sa mission est de simplifier l'accès au droit grâce au numérique et favoriser le développement de l'entrepreneuriat en France.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier