RGPD : impact opérationnel sur les startups

Le Règlement Général sur la Protection des Données (RGPD) s'applique depuis le 25 mai 2018 à tous les traitements de données personnelles au sein de l'Union Européenne. Il concerne toutes les entreprises, quelle que soit leur taille.

Le RGPD a un double impact sur les activités des startups : un renforcement de la protection des personnes concernées, et une adaptation des procédures internes pour mettre en place une conformité en amont.

Les sanctions en cas de non-respect sont conséquentes : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les atteintes techniques (Privacy by Design, Privacy by Default, absence d'analyse d'impact), et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les atteintes aux droits des personnes.

Un renforcement des droits des personnes

Le RGPD renforce les droits des personnes dont les données personnelles sont collectées. Les principes applicables sont le traitement licite, loyal et transparent, la collecte pour des finalités précises et légitimes, la minimisation des données, la mise à jour et la suppression des données périmées, la conservation limitée dans le temps, la sécurité des données, le Privacy by Design (intégration de la protection dès la conception), et le Privacy by Default (traitement limité aux données nécessaires).

Ces principes impliquent des procédures techniques spécifiques : consentement par cases à cocher non précochées, anonymisation, pseudonymisation, chiffrement, logs, processus de sécurité.

Les personnes concernées doivent être entièrement informées et peuvent exercer leurs droits d'accès, de rectification, de suppression et d'opposition dans un délai d'un mois. Ces droits doivent être reflétés dans vos documents contractuels (CGV/CGU notamment). Pour les clauses à intégrer, consultez l'article sur la mise en conformité RGPD des contrats.

Les procédures de conformité à mettre en place

La déclaration préalable à la CNIL n'est plus nécessaire. Chaque responsable de traitement doit garantir le respect du RGPD pour tous ses traitements.

Il est nécessaire de tenir un registre des traitements effectués. Les entreprises de moins de 250 salariés ne doivent tenir qu'un registre des traitements sensibles ou réguliers, mais il est fortement conseillé à toutes les entreprises de tenir un registre complet.

Tout traitement de données sensibles (santé, opinions politiques, données ethniques, religieuses, sexuelles) ou incluant un profilage doit faire l'objet d'une analyse d'impact (DPIA).

Les entreprises sont également invitées à nommer un Data Protection Officer (DPO), qui coordonne les traitements en interne et les relations avec la CNIL. C'est obligatoire si l'entreprise traite des données personnelles de manière régulière et systématique, ou si elle traite des données sensibles.

Parmi les procédures à mettre en place : réponse aux demandes des personnes concernées, portabilité des données, notification de la CNIL en cas de violation, suivi documentaire de la conformité, obligations de confidentialité pour les salariés, limitation des accès, logs, système de purge, et consentement explicite des clients.

Il convient également de s'assurer que vos contrats avec vos sous-traitants prévoient une répartition des rôles et responsabilités en matière de données personnelles. Sur ce sujet, consultez l'article sur la sous-traitance en SaaS. Pour une vue d'ensemble, consultez le guide de contractualisation SaaS.

Conclusion

La conformité RGPD n'est pas un projet ponctuel mais un processus continu. Les startups doivent s'y conformer dès leur lancement, même avec des moyens limités. Si vous souhaitez auditer votre conformité ou structurer vos procédures internes, prenez rendez-vous.

‍