Javascript is required
logo-dastralogo-dastra

Les clés du RGPD pour ma startup

Les clés du RGPD pour ma startup
Paul-Emmanuel Bidault
Paul-Emmanuel Bidault
15 février 2022

Dans le cadre de son mois juridique, Station F a organisé le 15 février 2022 un atelier RGPD dédiée aux startups intitulé "Les clés du RGPD pour ma startup", en présence de la CNIL. Dastra étant présent à l'évènement, nous ne resistons pas à l'idée de vous en faire un petit compte-rendu. Reportage.

Qu’est-ce l'EDPB ?

L'European Data Protection Board, soit le Comité Européen de la Protection des Données en français :

  • Est une Instance européenne indépendante (parlement européen par exemple)
  • L’EDPB contribue à l'application cohérente des règles de protection des données dans toute l'Union Européenne.
  • Il favorise la coopération entre les autorités de protection des données de l'Union Européenne.
  • Enfin, il est composé de représentants des autorités nationales de protection des données de l'Union Européenne.

Pourquoi les startup sont concernées par le RGPD ?

Les startups sont concernées par le RGPD pour trois raisons principales :

  • Au niveau des utilisateurs. En effet, les utilisateurs accordent leur confiance en terme de données.
  • Au niveau des investisseurs, qui vont évaluer/s’assurer de la mise en conformité de la startup avant d’investir .
  • Enfin, au niveau de la CNIL, avec le management des risques.

La Cnil contrôle aussi les startups après deux ans de création car elles sont innovantes et nombreuses en France. De plus, les startups ont beaucoup de données personnelles.

Si la Cnil les contrôle et que le RGPD n’est pas respecté, alors elles peuvent avoir une sanction. La conséquence est que les utilisateurs et les investisseurs peuvent ne plus avoir confiance en eux.

Voir le retour d'expérience d'Alan Assurances, qui a fait face à une audition de contrôle de la CNIL.

De plus, des startups ont dû cesser leur activité à la suite du manque de conformité avec le RGPD. C'est le cas de feu Fidzup qui avait basé son business model une interprétation erronée du consentement qui a dû mettre la clé sous la porte.

L'enjeu est donc de taille !

Focus sur le RGPD et ses concepts importants

Les différents types de données personnelles

  • Il existe des données directement identifiables tel que le prénom d’une personne.
  • Il y a également des données indirectement identifiables comme le numéro de sécurité sociale.
  • Nous avons aussi des références d’information. Par exemple, une femme vivant à Paris, allant dans une université spécifique, lisant ce livre dans cet endroit etc est considéré comme une donnée.
  • Enfin, il existe des catégories spécifiques dites sensibles telles que l’orientation sexuelle voire l’orientation religieuse d’une personne.

Responsable de traitement et sous-traitant

Le responsable de traitement va déterminer le but et l’objet de la procédure des données personnelles, à la différence du sous-traitant qui lui est en charge de l'exécution.

Le but du process

Le but du processus est d’utiliser le fichier de données (par exemple, le marketing direct, la prévention des vols, etc.). Ce but, autrement dit, la finalité doit être précise, explicite et légitime.

Limite de conservation des données

Les données personnelles doivent seulement être conservées pour une période limitée dans le temps, déterminée avant la collecte des données.
La durée peut varier selon ce qui est déterminée au départ (les données peuvent être gardées un mois ou an par exemple).

La sécurité des données personnelles

Des mesures de sécurité doivent être mises en oeuvre pour empêcher les atteintes à la confidentialité des données.
Il faut informer la Cnil en cas de violation sur la sécurité des données personnelles.

Droits des personnes concernées

Les individus ont des droits sur les données.

• Droits de s'assurer que les personnes concernées gardent le contrôle de leurs données par le biais d'informations.
• Pour être loyale et licite, la collecte des données doit se faire avec une bonne information des personnes concernées par les données, qui devraient notamment inclure :

  • L'identité du responsable du traitement
  • La finalité du traitement
  • Les destinataires des données
  • Les droits dont jouissent les personnes concernées
  • Les transferts de protection en dehors de l'UE

Venez voir comment gérer les droits facilement avec Dastra

Les 5 étapes pour être en conformité :

  • 1er étape : Il faut nommer l’équipe responsable sur le sujet.
  • 2e étape : Identifier les traitements des données (tenir le registre des activités de traitement).
  • 3e étape: Informer le sujet de données sur le traitement des données personnelles. La Cnil peut contrôler en ligne, sur le site web. Il faut donc avoir une politique de confidentialité accessible depuis le site web.
  • 4e étape : Mettre en place des processus internes pour une situation spécifique (comme la gestion des demandes d'exercices de droit ou de violation de données)
  • 5e étape : Travailler sur la sécurité informatique. En 2021, la moitié des sanctions de la Cnil résultait d’un mauvais contrôle des données. Par exemple, lorsqu’une entreprise veux travailler avec des gros investisseurs, ils vont leur demander si l’entreprise est bien conforme.

La gestion du consentement : les principaux points à retenir :

Le consentement est prévu par la directive vie privée et communications électroniques (dite « ePrivacy ») telle que transposée dans la loi française sur la protection des données et telle qu'interprétée à la lumière du RGPD, et repose sur plusieurs points :

  • Le consentement préalable de l'utilisateur avant que tout cookie non essentiel ne soit placé sur l'appareil de l'utilisateur.
  • Le consentement doit respecter toutes les conditions fixées dans le RGPD : les utilisateurs doivent donc pouvoir choisir librement et en connaissance de cause.
  • Le consentement doit être donné de manière active (le consentement est une action, la poursuite de la navigation sur le Web n'est pas une expression valable du consentement).
  • Celui-ci doit également être aussi facile à accepter qu'à refuser.
  • Le consentement peut être retiré à tout moment et facilement.

Chez Dastra, nous disposons d'offres spéciales pour les startups afin de les aider à se mettre en conformité avec le RGPD.

Pour les activer, contactez-nous via le lien ci-dessous 👇

Contactez-nous
A propos de l'auteur
Paul-Emmanuel Bidault
Paul-Emmanuel Bidault
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.