Le RGPD a été voté le 27 avril 2016 et est pleinement entré en vigueur le 25 mai 2018. Ce règlement s’applique à toutes les start-up qui gèrent des données personnelles de résidents européens. Ne pas s’y conformer expose la contrevenante à des sanctions pécuniaires et pénales relativement importantes. Force est toutefois de constater que presqu’un an après la mise en application du RGPD, plus de la moitié des start-up françaises ne sont pas encore aux normes. Une chose compréhensible étant donné l’effort qu’il faut déployer pour se conformer au RGPD.

Application du RGPD : les start-up françaises à la traîne

Une étude menée récemment par un cabinet spécialisé met en relief un fait déplorable : ¾ des start-up ne sont pas en conformité avec le RGPD. Les illégalités concernent surtout le non-respect de l’obligation d’informer. Pour rappel, depuis le 25 mai 2018, les entreprises doivent doter leurs sites internet d’un onglet renvoyant à la nouvelle réglementation. Or, plus de la majorité des start-up n’offrent aucun contenu RGPD.

Pire : sur les 23 % des entreprises qui font apparaître la réglementation sur leurs sites, une bonne partie oblige les internautes à faire des recherches poussées avant de trouver les informations sur le RGPD. À part cela, un bon nombre de sites internet ne mettent pas à disposition des utilisateurs de leur site des CGU et CGV. Enfin, 2/3 des start-up ne mentionnent pas la clause de compétence juridictionnelle. Cette clause est pourtant celle qui permet aux personnes lésées de déterminer le tribunal vers lequel elle devra se tourner.

Se mettre en conformité sans paniquer

Si la mise en conformité revêt un caractère urgent et impératif, il ne faut pas perdre de vue qu’elle représente également un travail ardu. C’est pourquoi les organismes chargés de faire respecter le RGPD sont cléments. Cela ne veut pas dire qu’une entreprise peut se permettre de retarder son application du nouveau règlement. Au contraire, il est temps d’enclencher le long processus de la mise en conformité, afin d’éviter les sanctions futures. Pour ce faire, voici un petit rappel des tâches à accomplir :

  • Relativiser l’ampleur de la tâche : la difficulté de la mise en conformité dépendra en grande partie de la taille de la base de données utilisée par l’entreprise. Mais même ainsi, il faut rappeler que seules les données personnelles entrent dans le champ d’application du RGPD ;
  • Se faire accompagner : pour se mettre en conformité rapidement, l’idéal reste de se faire accompagner par un expert en protection des données. Attention, tous les prestataires ne sont pas dignes de confiance ;
  • Désigner un responsable pour gérer le processus de mise en conformité : il ne s’agira pas forcément d’un DPO. Pour rappel, la désignation d’un DPO n’est obligatoire que lorsque l’entreprise traite des données à grande échelle, des données sensibles, réalise du profilage ou du contrôle ;
  • Inventorier les traitements de données : il s’agira de déterminer les différents traitements mis en oeuvre, leurs lieux de stockage et leurs finalités et de tenir les registre de ces activités de traitements ;
  • Classer les actions à mener par priorité : celles qui touchent à la protection des droits des personnes concernées doivent toujours passer avant toute chose ;
  • Déceler les risques : analysez le parcours de vos données pour déterminer s’il y a des risques éventuels (risques de fuite) ;
  • Revoir les processus internes : les principes prônés par le RGPD doivent être intégrés dans les habitudes de l’entreprise. Il faut donc sensibiliser l’ensemble des collaborateurs ;
  • Dresser une documentation retraçant les actions à mener pour rester toujours en conformité. Pour ce faire il existe des outils de gouvernance RGPD. (citer Privacil de DPMS ?)
  • Sensibiliser les acteurs (citer la solution RGPD puissance 4 digitale de DPMS ?)