Comment nous avons mis notre startup aux normes RGPD ?

Startup Besight — Janvier 2018

6 min readApr 12, 2018

Lieu : une salle de réunion dans un incubateur parisien
Occasion : une présentation du RGPD par un avocat (je vais l’écrire une fois pour toute : Règlement Général sur la Protection des Données)
Heure : trop tôt le matin pour que je m’en rappelle…

J’arrive 2 minutes en retard, comme d’habitude (je sais que les gens ne commencent jamais à l’heure, j’anticipe toujours leur retard). J’entre dans la grande salle de réunion et je distingue immédiatement cet homme habillé en costard (inhabituel dans un incubateur de startup). C’est donc forcément lui qui nous fait la présentation.

Who’s that guy ?

Pour un soucis d’anonymat, appelons le Jack.

Jack est un expert du RGPD. Il a pris la décision il y a environ un an de se spécialiser dans ce nouveau règlement qui fait peur à toutes les entreprises une fois qu’elles en ont entendu parler pour la première fois. Il est avocat (depuis peu également) et connait donc très bien les textes à rallonge que personne (à part lui) ne comprend.

Jack a donc pivoté dans sa vie pour vendre à des startuppers comme nous une mise aux normes RGPD.

What the heck is RGPD?

Actually in english, it’s GDPR… Douche

Je vais essayer de vous épargner les trucs chiants évidemment. Sinon, à quoi bon lire cet article rédigé par un startupper…

Le RGPD a été voté le 27 Avril 2016. C’est un nouveau règlement qui touche toutes les boites qui gèrent des données de gens comme vous et moi (des particuliers du coup). Ce règlement a pour objectif premier de faire payer très cher aux boites qui font un peu n’importe quoi de vos données personnelles (Voir les scandales facebook et uber qui sont déjà suffisants pour comprendre l’enjeu).

Mais en gros du coup ?

Ce règlement remet l’utilisateur au centre des préoccupations. Fini les fuites de données masquées et place à de nouveaux droits : droit à l’oubli / droit au déréférencement (Art 17 du RGPD), un droit à la portabilité (Art 20 RGPD) et un droit au consentement renforcé (Considérant 32 du RGPD).

En gros, si votre boite ne respecte pas les nouvelles règles, vous payez soit 20 millions d’euros, soit 4% de votre chiffre d’affaires en fonction de votre taille. Et oui, 20 millions d’euros c’est pour Google l’équivalent de ma facture internet pour moi… Et pour les amendes, en France ça sera la CNIL qui jouera le rôle de commissaire.

Ha oui, un petit détail, le RGPD est un règlement européen. MAIS il s’applique à toutes les boites qui gèrent des données de citoyens européens.

Un autre truc important à savoir :

Ça fait deux ans que tout le monde le sait (encore une fois, ça a été voté en 2016…) mais tout le monde s’affole au dernier moment. C’est toute l’ironie de la situation. Et comme tout le monde est en stress, plein de gens sont prêts à vous faire payer cher pour vous mettre aux normes.

BE CAREFUL MY FRIENDS

Et c’est là que l’article devient intéressant pour toi lecteur :

Comment on a fait pour s’y retrouver dans ce grand b***** ?

Déjà, on a choisi des gens en qui on avait confiance pour nous accompagner dans ces démarches.

Le monde du droit en général vous fait souvent très peur pour vous vendre tout un tas de contrats. Certains sont absolument nécessaires, d’autres feront office de décoration dans vos nouveaux locaux.

Si vous ne voulez pas vous laisser submerger dans la paperasse et finir comme lui :

Trouvez des gens qui vont prendre le temps de vous expliquer la portée de ce nouveau règlement. Je vais essayer de vous résumer les grands chantiers en quelques mots :

Here’s what to do

1. Pas de stress, on a encore un peu de temps

Il faut savoir que la deadline du 25 Mai 2018 (date d’entrée en vigueur du RGPD) impose uniquement que nous puissions prouver que nous avons commencé à effectuer les démarches pour se mettre aux normes.

Déjà, on respire un peu…

2. Comprendre que pour les petites boites, y’a pas non plus des tonnes de boulot

Encore une fois, le RGPD a pour objectif d’empêcher les géants de faire n’importe quoi de nos données personnelles. Les petites boites ne sont finalement que des dommages collatéraux (à cause de ce que l’on appelle la chaîne de responsabilité).

Cas particulier néanmoins : les boites dans la big (vraiment big) data devront s’embêter un peu plus. Mais encore une fois, ce ne sera pas non plus la mer à boire. En fait la taille de votre boite n’est pas importante (et oui encore ce débat 😫). On s’intéresse ici à la taille de votre base de donnée (ou de votre fichier excel).

3. Comprendre que le RGPD concerne les données personnelles et non professionnelles

Il est important de comprendre que les données personnelles uniquement sont concernées. L’email pro par exemple, est considéré comme une donnée personnelle. Par contre les emails génériques (contact@abc.com) ne sont pas concernés.

Sinon, côté pro, le consentement n’est pas obligatoire (l’opt-in) et vous devez toujours respecter les mêmes contraintes (informer l’utilisateur de l’objet du traitement, conserver les données moins de 3 ans sans échange, …)

Peu de changements en terre de prospection B2B donc.

4. Se mettre au boulot en commençant par essayer d’y voir plus clair dans tout ça

Pour une fois qu’un organisme public fait quelque chose de bien, il faut le souligner.

6 actions pour avancer :

La CNIL a fait une petite checklist que je vais vous expliquer :

1. Designer un pilote

Bon, prenez le CEO ou l’un des associés, ça fera bien l’affaire.

Le vrai DPO (Data Protection Officer ou Délégué à la Protection des Données) n’est pas obligatoire lorsque l’on ne traite pas des données à grandes échelle, ou des données sensibles.

2. La cartographie des données

Là c’est un peu plus embêtant selon les projets. Allez voir votre dev et faites un énorme brainstorming qui doit répondre à ces questions :

Quelles données (1 colonne) | Où sont elles stockées (1 colonne) | Pour quelle finalité ? (1 colonne)

(Un truc qu’il faut savoir : si vous demandez à vos utilisateurs le code de leur immeuble mais que vous ne l’utilisez pas, la CNIL ne va pas être contente. On dit qu’il faut appliquer le principe de minimisation de la collecte des données sur nos utilisateurs.)

Et ensuite on fait des liens entre tout ça comme à l’école :

3. Prioriser les actions à mener

Si vous vous rendez compte qu’un truc cloche, c’est en numéro 1. Vous priorisez les tâches en sachant qu’il est plus grave de collecter 100 millions de données en trop que d’avoir oublié une virgule dans vos mentions légales.

4. Gérer les risques :

Là en tant que boite qui ne gère pas des millions de données et surtout aucune données sensibles, ce n’est pas obligatoire (pour l’instant).

Après, il est toujours intéressant de jeter un coup d’œil au parcours de vos données pour identifier des failles potentielles à l’avance. D’autant que la CNIL a créé un logiciel pour vous faciliter la tâche : le logiciel PIA (pour Privacy Impact Assessment).

5. Organiser les processus internes :

Il faut que tout le monde soit au courant de quoi faire et quand. Surtout, il faut apprendre à tout le monde à penser RGPD. L’un des principes du RGPD est le “Privacy by design” qui stipule que la démarche RGPD doit être intégrée au plus tôt dès la conception d’un produit/service.

6. Documenter la conformité :

On fait à la fin un gros document word où on explique tout ce que l’on doit faire, comment agir dans telle ou telle situation, etc…

Voilà, vous avez fini !

Se faire accompagner ?

Pour le coup, je vous mentirai si je vous disais que tout ça est simple à mettre en place.

Pour autant, en demandant un petit coup de main à un expert on peut vite s’en sortir tout en dépensant des sommes très raisonnables.

J’ai volontairement simplifié dans un objectif pédagogique, mais c’était pour la bonne cause. 80% d’entre vous auront une mise aux normes relativement simple.

Je vous invite si cela vous intéresse à contacter la personne qui s’en est occupée pour nous. Louis, d’Alpha Intelligence : louis.allavena@alpha-intelligence.fr

Sinon, contactez-moi directement sur Linkedin si vous avez la moindre question 😉

Un dernier pour la fin :