La méthode en bref
En une phrase : Témoignage : comment s'est déroulé le contrôle RGPD de la CNIL chez la startup Coverd — de la convocation surprise à la journée d'audition, les erreurs à éviter et les enseignements.
Un contrôle de la CNIL, ça ressemble à quoi concrètement ? Dans cet épisode de la Bold Académy, Hugo Saias, CEO de Coverd (une insurtech proposant une assurance pour appareils électroniques), raconte le contrôle RGPD qu'a subi sa startup — accompagnée par Bold. Un retour d'expérience rare et très concret.
Avant le contrôle, le RGPD était perçu comme abstrait et relégué tout en bas de la roadmap, dans une culture « zero to one » où la conformité attend « plus tard ». La convocation a d'abord semblé être du phishing (un email à l'adresse générique demandant de se connecter aux serveurs de la CNIL), confirmée ensuite par téléphone — l'équipe a aussitôt contacté Bold. Anecdote : la convocation et les pièces étaient sur un CD-ROM envoyé par courrier, illisible sur des MacBook sans lecteur… d'où l'achat en urgence d'un lecteur externe.
Fait marquant : six mois plus tôt, Coverd avait bouclé une levée assortie d'une clause d'audit (« gap ») imposant une conformité RGPD totale sous 12 mois. Le contrôle a donc accéléré la finalisation des chantiers. Le cas des mots de passe est emblématique : après une politique très stricte (nuisant à la conversion), Coverd avait fortement assoupli ses critères ~3 mois avant le contrôle — précisément la fenêtre où la CNIL a constaté la faiblesse. Coverd a pu prouver sa bonne foi grâce à l'historique de code horodaté. L'astuce trouvée depuis : générer automatiquement un mot de passe fort à l'inscription, puis faire personnaliser l'utilisateur à la connexion suivante (sécurité sans dégrader les ventes).
Les points clés à retenir
Voici les idées à garder en tête après la vidéo. Elles servent de checklist rapide pour passer du concept à l'action.
Retour d'expérience
Retour d'expérience : la startup Coverd (insurtech) a subi un contrôle RGPD de la CNIL, accompagnée par Bold.
Avant le contrôle, le RGPD était relégué
Avant le contrôle, le RGPD était relégué au bas de la roadmap (culture « zero to one ») — le contrôle a servi d'accélérateur de mise en conformité.
convocation, d'abord prise pour du phishing, est
La convocation, d'abord prise pour du phishing, est arrivée par CD-ROM postal (MacBooks sans lecteur : achat d'un lecteur externe en urgence).
cas des mots de passe
Le cas des mots de passe : une politique assouplie pour la conversion, juste avant le contrôle, a été captée par la CNIL ; l'historique de code horodaté a prouvé la bonne foi.
Astuce trouvée depuis
Astuce trouvée depuis : générer automatiquement un mot de passe fort à l'inscription, puis faire personnaliser l'utilisateur à la connexion suivante.
L'audition (janvier 2021, locaux de la CNIL)
L'audition (janvier 2021, locaux de la CNIL) a duré une journée entière ; issue : clôture sans amende ni mise en demeure, quelques recommandations.
Quand l'appliquer dans ta startup ?
À reprendre dès que tu collectes, stockes, transmets ou exploites des données personnelles.
L'objectif n'est pas de tout complexifier, mais de repérer les bons réflexes : ce qu'il faut décider, ce qu'il faut documenter, et ce qu'il vaut mieux faire valider avant que le sujet ne bloque ton projet.
Pour aller plus loin
Cette vidéo fait partie de la Bold Academy. Les vidéos liées, les articles, les modèles de la contrathèque et les expertises associées te permettent de continuer le parcours sans repartir de zéro.
À retenir : Que se passe-t-il lors d'un contrôle RGPD ? (témoignage Coverd) doit t'aider à prendre une meilleure décision juridique, plus vite, avec une vision claire des risques et des prochaines étapes.
- Retour d'expérience : la startup Coverd (insurtech) a subi un contrôle RGPD de la CNIL, accompagnée par Bold.
- Avant le contrôle, le RGPD était relégué au bas de la roadmap (culture « zero to one ») — le contrôle a servi d'accélérateur de mise en conformité.
- La convocation, d'abord prise pour du phishing, est arrivée par CD-ROM postal (MacBooks sans lecteur : achat d'un lecteur externe en urgence).
- Le cas des mots de passe : une politique assouplie pour la conversion, juste avant le contrôle, a été captée par la CNIL ; l'historique de code horodaté a prouvé la bonne foi.
- Astuce trouvée depuis : générer automatiquement un mot de passe fort à l'inscription, puis faire personnaliser l'utilisateur à la connexion suivante.
- L'audition (janvier 2021, locaux de la CNIL) a duré une journée entière ; issue : clôture sans amende ni mise en demeure, quelques recommandations.
- La CNIL cible désormais les startups (notamment l'insurtech B2C) : des structures interconnectées = risque global, avec des contre-visites 6-12 mois plus tard.
La perception du RGPD avant le contrôle. Avant de subir ce contrôle, le RGPD était perçu au sein de la startup comme une matière abstraite et lointaine. Dans la culture « zero to one » des lancements de startups, la conformité est le genre de sujet qu'on repousse le plus longtemps possible. Chez Coverd, l'état d'esprit initial était de traiter ces problématiques réglementaires « plus tard », une fois l'entreprise grandie : le RGPD était systématiquement relégué en bas de la roadmap.
La réception de la convocation. Le jour venu, l'équipe n'a pas tout de suite compris qu'il s'agissait d'un contrôle de la CNIL. Un contrôleur a d'abord cherché à joindre l'entreprise via son adresse générique (hello@coverd.co), avec un message demandant de se connecter aux serveurs de la CNIL pour récupérer une convocation — d'abord pris pour une tentative d'arnaque ou de phishing. Ce sont des échanges téléphoniques directs qui ont confirmé le sérieux de la démarche. L'équipe a immédiatement contacté Bold pour l'aider à décrypter cette procédure très formelle.
L'anecdote du CD-ROM. La convocation et les pièces (dont des captures d'écran du site réalisées en amont par la CNIL) étaient enregistrées sur un CD-ROM envoyé par courrier postal. Les MacBook de l'équipe étant dépourvus de lecteur de disque, ils ont dû commander en urgence un lecteur CD-ROM externe pour lire ces documents scellés.
La préparation et le contexte. La préparation a mobilisé une bande passante considérable, forçant la startup à mettre en pause plusieurs chantiers business. Six mois plus tôt, Coverd avait finalisé une levée assortie d'une clause d'audit (« gap ») l'obligeant à atteindre une conformité RGPD totale sous 12 mois : les sujets étaient identifiés et planifiés, mais moins prioritaires que le commercial. L'annonce du contrôle a agi comme un accélérateur.
Le cas des mots de passe : sécurité vs conversion. Mi-2020, Coverd appliquait une politique de mots de passe très stricte (nombreux caractères, casses, caractères spéciaux), alignée sur les recommandations maximales de la CNIL. Mais cette rigidité nuisait à l'expérience et au taux d'inscription. Pour des raisons commerciales, l'équipe a fortement simplifié les critères (3-4 lettres et 3-4 chiffres) environ trois mois avant le contrôle — précisément la fenêtre où la CNIL a constaté le manque de sécurité. Heureusement, Coverd a pu s'appuyer sur l'historique horodaté de son code pour démontrer sa bonne foi et prouver qu'un niveau de sécurité maximal avait été maintenu de longs mois auparavant. L'astuce de conformité trouvée depuis : générer automatiquement un mot de passe fort à l'inscription (aucune contrainte de saisie pour l'utilisateur), puis lui demander de le personnaliser à sa connexion suivante, une fois l'inscription et le paiement validés.
La journée de contrôle. L'audition s'est tenue début janvier 2021, en période de couvre-feu et de télétravail, dans les locaux de la CNIL, de 8h20 à plus de 20h. D'un côté de la table : l'équipe de Coverd (le CEO et le CTO/DPO, Nicolas), soutenue par ses conseils de chez Bold ; de l'autre : deux à trois contrôleurs de la CNIL, appuyés par un expert technique effectuant des vérifications en direct sur le site pour confronter les déclarations à la réalité du code. La préparation menée avec Bold a permis de maîtriser les concepts clés et de répondre précisément.
L'issue et le ciblage de la CNIL. Un mois plus tard, Coverd a reçu un courrier confirmant la clôture, sans amende ni mise en demeure : le procès-verbal se limitait à quelques recommandations pour achever la mise en conformité. Pourquoi une jeune structure ? Les contrôleurs ont révélé que la CNIL suit de nouvelles directives visant l'écosystème numérique et les startups, en particulier l'insurtech B2C (Alan faisait l'objet d'un contrôle au même moment) : l'autorité veut montrer qu'elle encadre toutes les tailles d'entreprises, et si chaque startup ne traite qu'un volume modéré de données, leur multiplication interconnectée représente un risque global critique. Des contre-visites sont d'ailleurs planifiées 6 à 12 mois plus tard pour vérifier l'application des recommandations.
Conclusion. Ce contrôle a mis en évidence que le RGPD repose fondamentalement sur des règles de bon sens — à condition d'être correctement documentées et traçables. Fini le déploiement « sauvage » où formulaires et pages de capture récoltent des données (téléphones, e-mails) sans cadre juridique : l'impératif de rapidité d'une startup ne justifie pas une mauvaise gestion technique, la protection des données faisant partie intégrante de la qualité et de la déontologie d'un projet web.



.jpg)

.jpg)
.jpg)


.jpg)








.avif)
.avif)





