Comment intégrer le RGPD à votre startup ?

16 avril 2019

Les startups, comme tout organisme, sont soumises au RGPD dès lors qu’elles traitent des données personnelles. Cette page vous permettra de comprendre les grands principes du RGPD, et de savoir comment adapter votre organisation et vos contrats.

Comprendre le RGPD

Qu’est-ce que le RGPD (Règlement général sur la protection des données) ? Etes-vous concerné ? Tous les éléments à connaître concernant ce texte, des notions-clés à ce qu’il faut concrètement mettre en œuvre sont à retrouver sur notre page Comprendre le RGPD.

La CNIL propose également une formation en ligne sur le RGPD, un MOOC gratuit et ouvert à tous, permettant de mieux appréhender le règlement et ses applications. Une attestation de suivi sera délivrée à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module.

Comment intégrer un délégué à la protection des données (DPO) dans ma structure ?

Le rôle du Délégué à la protection des données

Le délégué à la protection des données (DPO) est le chef d’orchestre de la conformité RGPD. Il constitue un atout majeur pour comprendre le règlement, dialoguer avec les personnes concernées et réduire les risques de contentieux. Il conseille et sensibilise les équipes aux enjeux de la protection des données personnelles pour l’entreprise/ma startup.

Dois-je désigner un DPO dans ma startup ?

La désignation d’un délégué à la protection des données est obligatoire si vos activités de base font apparaître :

  • un suivi régulier et systématique des personnes à grande échelle ou
  • si vous traitez à grande échelle des données dites « sensibles » (telles que les données de santé ou les données biométriques aux fins d’identifier une personne de manière unique).

 Dans les autres cas, la CNIL encourage sa désignation.

 

Qui désigner pour ma startup ?

Le DPO doit :

  • disposer de qualités professionnelles et de connaissances spécifiques,
  • bénéficier de moyens matériels et organisationnels, des ressources et du positionnement lui permettant d’exercer ses missions.
  • ne pas être en situation de conflit d’intérêts en cas de cumul avec une autre fonction (ainsi, les dirigeants de la startup ne peuvent pas être désignés DPO)

Si dans votre startup, aucune personne ne répond à ces trois critères, notamment du fait d’un cumul de fonctions ou de l’absence de compétences en protection des données, vous avez la possibilité de désigner un délégué externe qui peut par ailleurs être mutualisé avec d’autres startups.

Il est possible de recourir à un délégué externe, personne physique ou morale, par exemple un avocat ou un cabinet de consultants spécialistes des de la protection des données. Un contrat de prestation de services devra être conclu. Il faut naturellement, au préalable, s’assurer de la fiabilité du prestataire, de sa connaissance suffisante du fonctionnement du domaine d’expertise, de sa disponibilité comme de son indépendance.

L’option de la mutualisation de la fonction de DPO, dans le cadre d’une coopération entre startups, est également possible. En effet, une telle coopération vous permet à la fois de pallier l’absence de ressources humaines suffisantes, de bénéficier de la compétence et de la disponibilité de professionnels dédiés, ainsi que de limiter les coûts associés à un service de qualité.

 

Responsabilité, prestataire, sous-traitance

Il est fréquent qu’un organisme ait recours à des sous-traitants dans le cadre d’un service ou d’une prestation pour leur compte et sur leurs instructions (prestataire de services informatiques, SSII, agences de communication). En cas de pluralité d’acteurs, il est important de clarifier le rôle de chaque intervenant dans le traitement de données personnelles.

Ainsi, le « responsable de traitement »est celui qui définit les finalités et les moyens du traitement, c’est-à-dire ce à quoi sert le traitement et comment les données sont traitées. Le « sous-traitant » est l’organisme qui va traiter des données personnelles pour le compte d’un responsable de traitement.

Si vous faites appel à des sous-traitants dans le cadre de vos activités qui vont traiter vos données sur vos instructions, il faut encadrer cette relation par un contrat contenant certaines dispositions. L’objectif de cet encadrement est de s’assurer que les données personnelles que vous confiez à vos sous-traitants sont protégées.

Inversement, si vous êtes sous-traitant, vous avez de nouvelles obligations propres au regard du RGPD, notamment tenir un registre qui recense toutes les catégories d’activités de traitement que vous effectuez pour le compte de vos clients).