Dirigeant d’une startup, votre jeune pousse, comme la grande majorité des entreprises, récolte, traite et collecte les données personnelles de particuliers ? Alors vous n'échapperez pas à cette obligation de mise en conformité avec le Règlement n°2016/679, dit Règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.
En cas de contrôle de la Commission Nationale de l’Informatique et des Libertés (CNIL), vous devez être en mesure de prouver cette mise en conformité et démontrer l’application de bonnes pratiques.
Pourtant, plus de deux ans après l’entrée en vigueur du RGPD, le bilan reste inquiétant. Fin septembre 2019, seulement 28 % des entreprises se déclaraient être en conformité avec le règlement (source Capgemini).
Jusqu’alors la CNIL faisait preuve de patience, notamment auprès des petites entreprises et startups, en leur laissant un temps d’adaptation. Toutefois, elle a depuis longtemps dépassé ce stade. Déjà en février 2019, Marie-Laure Denis, Présidente de la CNIL déclarait “la CNIL ne doit pas hésiter à recourir à la sanction : il en va de son autorité, de sa crédibilité, même si elle doit en user avec discernement”.
Alors concrètement, quels sont les réflexes à avoir au sein de votre startup ? Quels sont les mesures à prendre pour assurer la mise en conformité de votre startup qui n’a pas toujours les moyens financiers et humains pour y arriver ?
Maître David Smadja, vous livre ses conseils et vous accompagne dans votre procédure de mise en conformité.
- Qu'est-ce que le RGPD ? Votre startup est-elle concernée ?
- Comment gérer les données récoltées par votre startup ?
- Quels sont les bons réflexes à prendre (qui vont généralement dans le sens de vos utilisateurs) ?
- Votre startup fait appel à des sous-traitants : quelles précautions prendre ?
- Faire du RGPD un atout pour votre startup : l'importance d'être accompagné
Qu'est-ce que le RGPD ? Votre startup est-elle concernée ?
Le RGPD (en anglais GDPR), entré en vigueur le 25 mai 2018, a pour objectif premier d’encadrer le traitement des données personnelles de citoyens présents sur le territoire de l’Union Européenne. Il s’inscrit dans la continuité de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de Loi Informatique et Libertés et harmonise les règles au niveau européen.
Concrètement qu’est-ce qu’une donnée personnelle ? Il s’agit de “toute information se rapportant à une personne physique identifiée ou identifiable”. Il s’agit d’une notion très large qui inclut les noms et prénoms des utilisateurs, de même qu’une donnée permettant seule ou cumulée à d’autres, d’identifier et de remonter à une personne physique déterminée.
Il peut ainsi s’agir d’un numéro de sécurité sociale, ou encore de données de localisation, de sexe, d’âge, de comportements d’achats… qui au cumulé permettent de remonter à l’identification d’une personne. C’est par exemple le cas, lorsque le service marketing de votre startup stock l’ensemble de ces informations au sein d’une base, afin de mieux comprendre le profil des utilisateurs et leurs intentions d’achats. C’est notamment ce que signifie le “traitement de données personnelles”.
Un traitement des données doit avoir une finalité et être utile dans l’exercice de votre activité professionnelle. Par exemple, si votre startup propose un service qui inclut une livraison, il est bien évidemment nécessaire de recueillir les coordonnées de vos clients. C’est le cas également, lorsque vous éditez des factures par exemple.
En résumé, vous ne pouvez pas décider de récolter des informations sur vos utilisateurs, sous prétexte que celles-ci vous serviront peut-être un jour.
Vous l’aurez compris, le RGPD concerne une immense majorité des entreprises. Tout organisme public ou privé qui traite des données personnelles peut être concerné, et ce peu important sa taille, la nature de son activité ou encore son lieu d’implantation, dès lors qu’il est établi sur le territoire de l’Union Européenne ou que son activité cible directement les résidents européens.
Ainsi, une entreprise française qui exporte ses produits en Chine est concernée par le RGPD. De même, qu’une entreprise basée aux États-Unis qui propose la livraison de produits en France. Les deux devant se conformer au RGPD. Ceci permet d’éviter une distorsion de concurrence et d’assurer une protection maximale du consommateur.
Comment gérer les données récoltées par votre startup ?
Le périmètre du RGPD étant désormais connu, comment lister, gérer, cartographier l’ensemble des données que vous serez amené à récolter ?
Comment cartographier ces données personnelles ?
L’article 30 du RGPD oblige à la tenue d’un registre des traitements. Ce registre n’est plus ni moins qu’un document d’analyse, un outil de pilotage. Ce document doit être en mesure de donner une vue d’ensemble du traitement des données opérés au sein de votre startup.
Il devra notamment contenir et identifier les différentes parties prenantes, les types de données traitées, leur finalité (à quoi servent-elles), qui a accès à ces données, si ces données sont communiquées (et si oui, à qui), la durée de leur conservation ou encore les méthodes utilisées pour assurer leur sécurité.
Comme indiqué, pour pouvoir être traitées, ces données doivent avoir une finalité, servir un objectif. Vous ne pouvez traiter que les données dont vous avez strictement besoin dans votre activité.
Une fois inscrite dans le registre, cette finalité devra être respectée. Elle doit en outre être claire et compréhensible.
Certaines activités sont-elles plus "à risque" ?
Certaines données personnelles sont dites sensibles. Il s’agit d’une catégorie particulière de données personnelles.
Sont considérées comme sensibles, les informations portant sur l’origine raciale ou ethnique d’un individu, les opinions politiques ou l’appartenance syndicale, les convictions religieuses, les données génétiques, les données concernant la santé ou encore l’orientation sexuelle d’un individu.
Le RGPD n’autorise le recueil ou le traitement de ces données qu’à certaines conditions :
- si la personne concernée a délivré son consentement exprès ;
- si ces informations sont rendues publiques par la personne concernée ;
- si leur recueil est nécessaire à la sauvegarde de la vie humaine ;
- si leur utilisation relève de l’intérêt public et après accord de la CNIL ;
- si elles concernent les membres ou les adhérents d’un organisme politique, syndical, religieux.
Il est donc indispensable que vous sachiez si l’activité exploitée par votre startup est considérée comme à risque et relève de ces situations. Il est fort probable que les contrôles soient renforcés dans ces domaines.
Si vous vous trouvez dans l’une de ces situations, prenez le temps de vous rapprocher d’un avocat spécialisé afin d’assurer au mieux votre niveau de conformité.
Quels sont les bons réflexes à prendre (qui vont généralement dans le sens de vos utilisateurs) ?
L’utilisateur est au centre des préoccupations du RGPD. Rappelons-le, il s’agit de donner davantage de transparence et de contrôle entre les mains des utilisateurs sur la manière dont sont collectées et traitées leurs propres données.
C’est donc dès la conception d’un parcours utilisateur que vous devez prendre les bons réflexes.
Le recueil du consentement
Premier point d’attention à avoir : le recueil du consentement de vos utilisateurs. Déjà présent dans la Loi Informatique et Libertés, il est renforcé par le RGPD. C’est par le biais de ce consentement que l’utilisateur pourra comprendre le traitement de ses données, choisir ou non de l'accepter (sans contrainte) et changer d’avis sur leur conservation.
Quatre critères doivent être rassemblés pour valider le consentement. Il doit être :
- libre : il ne doit pas être contraint ;
- spécifique : le consentement doit avoir une finalité ;
- éclairé : un certain nombre d’informations doit avoir été communiqué à l’utilisateur avant le recueil de son consentement ;
- univoque : le consentement doit être donné à la suite d’un acte clair, ce qui n’est pas le cas de cases pré-cochées par exemple.
Le RGPD ajoute à cela un droit de retrait, c’est à dire la possibilité pour l’utilisateur de retirer son consentement à tout moment.
Enfin, en tant que responsable de traitement, vous et votre startup devraient être en mesure de prouver à tout moment que l’utilisateur a bien consenti à l’utilisation de ses données, grâce notamment à la tenue d’un registre des consentements.
Les politiques de confidentialité et de cookies
La politique de confidentialité informe l’utilisateur du mode de collecte de ses données, leur conservation, leur traitement, leur communication ou encore leur suppression.
Dès lors que votre entreprise est amenée à collecter des données personnelles, une politique de confidentialité devra être communiquée. Il s’agit ni plus ni moins d’une étape permettant de recueillir le consentement de l’utilisateur.
Cette politique doit permettre à l’utilisateur de connaître les raisons pour lesquelles ses données sont collectées, de s’informer sur les systèmes de traitement appliqués, de s’assurer de la sécurité des données et de faciliter l’exercice de ses droits sur l’utilisation de ses données.
Depuis l’entrée en vigueur du RGPD, cette politique de confidentialité doit bien entendu être à jour et conforme au nouveau règlement.
Enfin, les éditeurs et prestataires de sites internet sont également tenus de recueillir le consentement des utilisateurs préalablement à l’insertion ou à la lecture de cookies ou tout autres traceurs. Les cookies regroupent l’ensemble des procédés de traçages lus lors de la consultation d’un site. Ce sont des moyens de suivre le comportement des utilisateurs sur un site.
Désormais, les éditeurs de sites doivent :
- informer les utilisateurs de la finalité de ces cookies ;
- obtenir leur consentement ;
- fournir à l’utilisateur un moyen de les refuser tous ou en partie.
Les sites doivent donc faire apparaître un bandeau cookies dès l’arrivée de l’internaute sur une page.
La portabilité des données
Introduit par le RGPD, le droit à la portabilité des données permet aux utilisateurs de récupérer tout ou partie de leurs données. Il peut alors s’en servir à titre personnel ou alors les transférer vers un autre organisme.
Ce droit à la portabilité renforce la maîtrise et le contrôle des personnes sur leurs données et leur traitement.
Ce droit s’applique à trois conditions cumulatives :
- il est limité aux données personnelles fournies pour l’utilisateur concerné ;
- il ne s’applique que sur le traitement des données informatisées (les supports papier ne sont pas concernés). Ce transfert des données doit être réalisé sur la base du consentement préalable de l’utilisateur concerné ou sur l’exécution d’un contrat ;
- ce droit ne doit pas porter atteinte aux droits et libertés de tiers.
Outre ce droit à la portabilité, le RGPD reconnaît une série d’autres droits pour l’utilisateur. La startup doit notamment assurer à ses utilisateurs :
- un droit d’accès à ses données : l’utilisateur peut faire une demande afin de savoir si des données le concernant font l’objet d’un traitement. Si c’est le cas, l’organisation doit lui fournir les données qu’elle possède, dans un format qui est compréhensible ;
- un droit de rectification de ses données : l’utilisateur peut faire une demande pour obtenir la modification d’informations fausses le concernant ou pour compléter des informations ;
- un droit à l’effacement : l’utilisateur peut, à certaines conditions, demander à une organisation de supprimer les données le concernant ;
- un droit à la limitation du traitement : l’utilisateur peut demander à une organisation de ne plus utiliser certaines des données qui le concernent pendant une certaine durée. Ce droit est généralement exercé en même temps que le droit de rectification. Ainsi, l’utilisateur demande à l’organisation de ne pas utiliser ses données tant qu’elles n’ont pas été modifiées.
Votre startup fait appel à des sous-traitants : quelles précautions prendre ?
L’activité de votre startup nécessite sans doute comme la majorité des entreprises, de faire appel à des sous-traitants dans le cadre d’un service ou d’une prestation. C’est le cas si vous utilisez un logiciel CMS, si vous faites appel à un prestataire de services informatiques, à une agence de communication, à un SSII…
En tant que responsable de traitement, l’article 28 du RGPD vous oblige à ne recourir qu’à des sous-traitants présentant des « garanties suffisantes quant à la mise œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».
Cet article suppose que le sous-traitant soit en mesure de justifier la mise en place de mesures techniques et organisationnelles conformes au RGPD. Si, en pratique, pour certains, la prise en compte des exigences du règlement ne paraît être qu'une simple mesure de communication, elle n’en reste pas moins une obligation contraignante et exigeante qui ne doit pas être négligée. Les responsables du traitement, en raison de l’obligation posée par le règlement, seront particulièrement attentifs aux garanties fournies par les sous-traitants.
Il est donc primordial de bien contrôler les systèmes mis en place par votre sous-traitant et de bien encadrer vos relations et vos rôles respectifs de responsable de traitement et de sous-traitant dans le contrat de sous-traitance qui vous lie.
Faire du RGPD un atout pour votre startup : l'importance d'être accompagné
En tant qu’entrepreneur, diriger une startup conforme au RGPD peut être source de valeur. En premier lieu, vous éviterez bien évidemment d’être sanctionné pour le non-respect de ce règlement. En second lieu, la mise en conformité présente des avantages économiques.
Les sanctions en cas de non-respect du RGPD
Une procédure de sanction peut être déclenchée si une organisation ne respecte pas le RGPD. Cette procédure est ouverte à la suite de dépôts de plaintes exercés sur le site de la CNIL ou à la suite d’un contrôle de la CNIL mettant en lumière un manquement au règlement.
Une fois la procédure ouverte, le Président de la CNIL va saisir la formation restreinte de la Commission qui pourra prononcer plusieurs types de sanctions :
- un rappel à l’ordre ;
- une injonction de se conformer aux règles énoncées dans le RGPD : cette injonction pourra par ailleurs être assortie d’une astreinte. Cela signifie qu’un montant est dû tous les jours par l’entreprise concernée tant qu’elle n’est pas en conformité avec le règlement. Le montant de l’astreinte peut aller jusqu’à 100 000 euros ;
- une limitation ou une interdiction temporaire de réaliser un traitement des données personnelles ;
- le retrait d’une certification ;
- la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- une suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes
- une amende administrative : le montant de l’amende peut aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Il est donc plus que conseillé de mettre sa startup en conformité.
Par ailleurs, la sanction peut faire l’objet d’une publication dans un journal d’annonces légales. Cette publicité aura nécessairement un impact sur l’image de l’entreprise sanctionnée, son manque de diligence dans la protection des données étant exposé au grand jour.
Les avantages à procéder à la mise en conformité d'une startup
L’attention que vous porterez au respect du RGPD aura des conséquences positives sur l’activité de votre startup.
Tout d’abord, cela permet de renforcer la confiance de vos clients dans le sérieux de votre entreprise. Le respect des règles issues du RGPD permet également d’améliorer l’efficacité d’une entreprise. En effet, le règlement impose d’organiser les données personnelles collectées, mais aussi de les mettre à jour régulièrement. Avoir un fichier à jour permet de gagner en efficacité sur le plan commercial. Les démarches de prospection des clients sont beaucoup plus simples à réaliser. Vous avez la possibilité de savoir à tout moment quels sont les besoins de vos clients.
Enfin, se conformer au RGPD peut être un avantage concurrentiel. Il est incontestable qu’un consommateur préfèrera s’adresser à une entreprise qui respecte le mieux ses droits et qui lui assure la meilleure protection de ses données. C’est un gage de confiance et de crédibilité aux yeux de vos utilisateurs.
Vous l’aurez sans doute compris, la mise en conformité d’une startup au RGPD est essentielle. Cette opération de mise en conformité n’est pas évidente en raison du nombre de règles qui doivent être respectées. Pour être certain d’offrir le meilleur service à vos clients, il est conseillé de demander conseil à un avocat. Celui-ci saura vous guider et vous assister dans la réalisation des changements internes à faire. Un avocat peut même être nommé comme Délégué à la Protection des Données (DPO). Cette personne, souvent appelée le “chef d’orchestre” de la conformité d’une entreprise au RGPD, deviendra la personne à contacter pour toute question relative au RGPD.
Une question ? Laissez votre commentaire