Le RGPD et les startups, des contraintes fortes et de belles opportunités

Sur la ligne de départ du chantier de mise en conformité au RGPD, toutes les entreprises ne partent pas sur un pied d’égalité. Pour les startups, c’est un peu la double peine. Elles sont concernées en premier chef par le règlement européen, leur modèle économique étant le plus souvent basé sur la donnée, mais elles ne disposent pas des ressources humaines et financières d’une société installée pour se mettre en conformité.

 

Avocat spécialisé startups et nouvelles technologies au sein du cabinet Alto Avocats, Arnaud Touati estime que 90 % des startups collectent les données personnelles de leurs utilisateurs. « Seules les startups BtoB qui gèrent exclusivement les données de sociétés ne sont pas directement concernées par le RGPD. »

Pour répondre aux attentes du RGPD, il leur reste encore beaucoup de travail à faire en particulier pour les jeunes pousses françaises. Elles sont en retard sur leurs homologues britanniques, allemandes ou espagnoles, si l’on en croit une récente étude européenne de Mailjet. Seules 21 % d’entre elles ont chiffré leurs données, 40 % ont demandé le consentement de leurs utilisateurs et 33 % ont vérifié la conformité de leurs fournisseurs.

Une autre enquête de l’association professionnelle Tech In France réalisée auprès de ses adhérents (de la startup au grand groupe) montrait que près de 60 % des entreprises du numérique ne s’estimaient pas prêtes lors de l’entrée en vigueur du RGPD et 55 % insuffisamment accompagnées.

Or, le modèle propre à la startup ne l’exonère pas de l’ensemble des exigences du nouveau règlement mêmes si on peut s’attendre de la bienveillance de la part Cnil dans la phase de rodage. L’autorité de contrôle devrait d’abord sanctionner pour l’exemple un géant du numérique.

Parmi les obligations du RGPD, on peut citer la tenue d’un registre des traitements pour les startups qui gèrent des données sensibles, l’intégration du principe de privacy by design dès la conception d’un nouveau produit et service ou la refonte de la politique de confidentialité et des conditions générales d’utilisation (CGU).

Des quiz permettent aux startupers d’évaluer leur niveau de conformité comme celui proposé par Mailjet ou Software Continuity. Bpifrance et la Cnil ont publié un guide de sensibilisation au RGPD à destination des PME. Tech In France, l’Afai et le Cigref proposent, eux, un livrable sur le sujet.

« Les processus à mettre en œuvre peuvent êtres lourds, chronophages et onéreux pour des startups qui manquent parfois de moyens comme de temps, note Arnaud Touati. Une startup ne peut se permettre de recruter un DPO à temps plein et va donc souvent prendre la décision d’externaliser cette fonction auprès d’un conseil, comme un cabinet d’avocats. »

L’étape redoutée du renouvellement du consentement

« Après un premier audit de la situation, il apparaît probable que certains processus soient identifiés comme non-conformes au RGPD et qu’ils nécessitent des changements importants, sans pour autant remettre en question le modèle économique de la startup », poursuit l’avocat. Le niveau de protection est proportionnel à la sensibilité de la donnée. Une startup gérant des données de santé doit par exemple doit les stocker dans des serveurs au niveau de sécurité élevé. La pratique dite du « growth hacking » qui consiste notamment à récupérer des adresses e-mails sur des profils LinkedIn ou à abonner d’office à une newsletter un contact qui a téléchargé un livre blanc devra être encadrée. La startup devant recueillir au préalable le consentement de la personne fichée.

Autre sujet d’inquiétude pour les startups : la crainte de perte d’utilisateurs au moment du renouvellement du consentement. « Je ne suis pas convaincu que cela entraîne un vaste mouvement de désabonnement, estime Arnaud Touati. Le consentement doit être précis et éclairé mais pour peu que le service leur soit profitable, les utilisateurs renouvelleront massivement leur confiance. Est-ce que par exemple l’affaire Cambridge Analytica a eu un véritable impact sur le nombre d’abonnés de Facebook ? Nous pouvons en douter. »

Si les études d’opinion montrent une défiance des consommateurs à l’égard des marques qui porteraient atteinte à leur vie privée, elle ne devrait se concrétiser en actes que dans un second temps. Pour autant, les startups doivent dès aujourd’hui mettre en place les processus internes pour garantir l’exercice du droit de rectification, d’effacement ou de portabilité des données. Avec leurs moyens réduits, les startups doivent jouer la carte du pragmatisme. « Il faut savoir qui fait quoi pour que la demande soit traitée de manière souple et automatique en respectant les délais prévus. »

De nouveaux modèles économiques post-RGPD

Comme tout chantier réglementaire, le RGPD est aussi source d’opportunités. La « compliance » pleine et entière au RGPD peut être un atout concurrentiel, un argument commercial. « Chez nous, vos données sont bien protégées, votre vie privée est respectée. » Dans un billet de blog, Fariha Shah, co-fondatrice de Golden Bees, explique comment la startup spécialisée dans l’e-recrutement s’est mise en ordre de marche vers le RGPD.

Le règlement favorise, par ailleurs, l’internationalisation. Sur le principe de l’extraterritorialité, il s’applique uniformément dans les 28 Etats-membres. « La startup peut s’adresser aux consommateurs espagnols ou danois sans changer ses processus internes », avance Arnaud Touati.

Enfin, le RGPD fait émerger de nouveaux modèles économiques. La startups Smart GDPR ou Captain DPO se sont spécialement créées pour accompagner les entreprises sur la voie du RGPD. « My data is rich » propose, elle, de reprendre le contrôle de ses données personnelles et de les monétiser. L’utilisateur cède ses données en toute connaissance de cause et en tire bénéficie. « Si la data est l’or noir du 21ème siècle, il n’est pas illogique que tout le monde en profite », conclut Arnaud Touati.

Go to Source


bouton-devis