Blog
Data
10 questions à se poser pour se mettre en conformité RGPD
Data
5 mins

Tout ce qu'il faut avoir en tête quand on souhaite mettre sa startup en conformité avec le RGPD

Publié le
23/4/24

TOC Example

La contrathèque

Accédez gratuitement à nos modèles de contrats et templates

Se mettre en conformité avec le RGPD peut paraître difficile à mettre en oeuvre.

En réalité, il y a une certaine logique à appliquer à chaque fois que tu souhaites collecter des données personnelles.

Voici 10 questions à se poser pour te mettre en conformité avec le RGPD.

Quelles sont les données collectées ?

Si tu as une startup, tu collectes forcément des données. Il est important d'identifier les données personnelles : celles qui permettent d’identifier directement ou indirectement une personne physique. Attention, cela couvre autant les données privées que professionnelles, par un exemple un email professionnel.

La première étape est de cartographier toutes les données personnelles que tu pourrais collecter et de te demander :

  • Quelles sont ces données ? Elles peuvent être très évidentes (nom ou prénom) ou beaucoup moins (adresse IP)
  • Auprès de quelle population ? (mineurs ? personnes âgées ? salariés ?)
  • Comment est-ce que tu les récupères ? attention, pense aussi à la collecte qui n'est pas forcément sous une forme numérique!

Collectes-tu des données sensibles ?

Les données sensibles sont les données relatives notamment à l’origine raciale ou ethnique d’une personne, sa religion, ses opinions politiques, son appartenance syndicale, ses préférences sexuelles, sa santé, sa génétique, sa biométrie ou encore les infractions qu’elle a pu commettre.

En principe, tu n'as pas le droit de collecter ces données, sauf dans certains cas, par exemple si tu as demandé le consentement des personnes.

C'est assez logique : si tu collectes des numéros de sécurité sociale, des états de santé, ou encore si tu exploites une application qui répertorie des gens atteints du VIH, tu ne vas pas traiter les données de la même manière que si tu exploites une application de réservation de restaurant.

Quel est ton but ?

Une fois que tu as listé les données que tu collectes, sensibles ou non, demande-toi quel est l'objectif de cette collecte (on parle généralement de "finalité"): tu ne dois en effet collecter que des données qui sont nécessaires pour atteindre cet objectif.

C’est le principe de minimisation du RGPD : tu ne peux pas collecter toutes les données que tu souhaites, sans que ce soit justifié par rapport à la finalité du traitement.

Typiquement, si tu proposes un service qui n'a rien à voir avec la position géographique, ne collecte pas la géolocalisation de ton utilisateur : il n'y a pas d'alignement entre la collecte et la finalité.

Ce but est-il justifié ?

Tu collectes des données pour l’objectif évoqué ci-dessus. Par exemple : fichiers leads, fichiers clients, fichiers salariés, etc. On appelle ces fichiers des "traitements".

Chaque traitement doit se rattacher à l’un des fondements légaux prévus par le RGPD. Il en existe plusieurs, notamment le consentement, le contrat ou l’intérêt légitime.

Par exemple, si tu collectes des données en te basant sur le consentement des personnes, il faut que tu veilles à recueillir ce consentement et à en garder la trace.

Combien de temps gardes-tu les données ?

Non seulement tu ne peux pas collecter toutes les données sans justification, mais en plus il faut te demander combien de temps est-ce que tu as réellement besoin de les garder en fonction de la finalité pour laquelle tu les as collectées.

Par exemple : est-ce que tu as vraiment besoin de conserver plus de 3 ans des données de leads que tu n’as jamais recontactés depuis que tu as eu leurs coordonnées ?

Une fois cette durée de conservation définie, il faudra mettre en place des mécanismes de suppression ou d’anonymisation des données quand celles-ci ne seront plus nécessaires à la réalisation de ton objectif.

A qui transmets-tu les données collectées ?

Maintenant que nous avons l'objectif (la finalité), la justification et la durée, il faut se demander quels sont les destinataires des données.

Tu peux transférer les données que tu collectes au sein de ta société : dans ce cas, qui y a accès parmi les équipes ? est-il vraiment nécessaire que tout le monde y ait accès ou est-il possible de limiter les habilitations ?

Tu peux les transférer en dehors de ta société : les destinataires sont alors:

  • Soit les outils que tu utilises (ton hébergeur ou un logiciel CRM) et dans ce cas tu dois veiller à ce que ces outils soient eux-mêmes conformes au RGPD ;
  • Soit d’autres personnes, par exemple tes partenaires. Tu dois t’assurer dans ce cas que tu as le droit de leur transférer les données et vérifier si un consentement est nécessaire.

⚠ Attention en cas de transfert des données en dehors de l’UE, il faut mettre en place un certain nombre de mesures. Donc si tu as le choix, opte plutôt pour des outils européens ou sélectionne la zone UE quand tu utilises des hébergeurs américains afin de te simplifier la vie.

Comment informes-tu les personnes de cette collecte ?

Toutes ces premières étapes sont utiles pour toi, pour te permettre de cartographier tes traitements de données personnelles, mais aussi pour délivrer les bonnes informations aux personnes concernées.

Le document d’information obligatoire à mettre en place est la politique de confidentialité, nous avons fait une vidéo sur le sujet que tu peux aller avoir.

Que fais-tu en cas de demande d'exercice de droit ?

Lorsque tu collectes des données personnelles, la personne concernée dispose de droits, par exemple :

  • Le droit d’accéder à ses données (ex : te demander tous les emails la concernant),
  • Le droit de supprimer ou de modifier ses données de tous tes fichiers et outils.

Lorsque tu reçois une telle demande, tu as un mois maximum pour y faire droit.

Il est nécessaire d'avoir anticipé ce sujet et mis en place des process adaptés car ces personnes pourront saisir la CNIL, l’autorité publique en matière de données personnelles, si tu ne réponds pas dans les délais.

Pour anticiper cela, l'idéal est donc de définir par écrit le process adapté en interne pour traiter ces demandes, de le diffuser au sein de tes équipes afin qu'elles en aient connaissance et de veiller à avoir une adresse email dédiée à ce type de demandes.

Est-ce que tu as un point de contact dans ton entreprise en matière de données personnelles ?

Il faut identifier une personne ou un service qui sera chargé de traiter ces questions, de répondre aux personnes concernées ou à la CNIL.

Dans certains cas très spécifiques, il sera obligatoire de déclarer à la CNIL un délégué à la protection des données (ou "DPO" pour "Data ProtectionOfficer"), qui sera la personne dédiée à cette tâche.

Est-ce que tu as mis en place des mesures de sécurité ?

Il faut mettre en place des mesures de sécurité physiques et informatiques pour éviter que des personnes non autorisées ne puissent avoir accès aux données et pour éviter toute perte de données

Par exemple, tu peux établir une journalisation des habilitations, définir des authentifications, choisir un hébergeur certifié, établir mots de passe forts, etc.

Ces mesures de sécurité doivent être adaptées en fonction des données que tu traites.

Conclusion

Une fois que tu as répondu à toutes ces questions, il ne te restera plus qu’à documenter ce travail. Cette cartographie prendra la forme de ce qu’on appelle le registre de traitement qui reprendra l’ensemble de la réflexion que tu as menée et les mesures que tu as prises.

L'abonnement juridique illimité pour les entrepreneurs

Fonds publics, conflit d'associés, mise en conformité RGPD, M&A, contentieux : découvrez toutes nos offres conçues pour les startups.