3 volets majeurs du RGPD pour les startups de la FT 120

Vous faites partie des meilleurs startups qui animent la French Tech ? Cet article est fait pour vous !

RGPD pour startups et French Tech

Mise en conformité RGPD des startups de la French Tech

📌 Les actions clés pour se mettre en conformité RGPD

📋 Exemple de sociétés qui traitent des données personnelles

🤩 Nos clients témoignent

Conformité RGPD : les 3 actions clés

1 - Conformité de la plateforme digitale

La conformité RGPD de votre plateforme digitale est un élément clé. C’est là que transite souvent le plus de données personnelles et donc là où les risques sont les plus importants. Il est nécessaire soit d’auditer la plateforme soit d’agir dès le “design” en intervenant dès la conception. 🚀

Un rapport doit être réalisé pour montrer le respect des règles ou les points à adapter. Ces points peuvent porter sur l’information des personnes, les consentement ou les durées de conservations principalement.

✅ INFORMATION : Les utilisateurs doivent être informés de manière précise et claire de leurs droits en matière de protection de données. Cela se traduit par une politique de confidentialité accessible très facilement sur la plateforme.

✅ CONSENTEMENT : Les règles sur le recueil de consentement doivent être également vérifiée. La collecte de certaines données nécessite le consentement de la personne. Par exemple : un email en B2C.

✅ DUREE DE CONSERVATION : Vous devez respecter les durées de conservation prévues par le RGPD. Il est donc important que votre plateforme ou un processus prévoit la suppression des données personnelles. La liste complète des durées est disponible sur notre site dans les ressources.

Cas particuliers. Êtes-vous un “sous-traitant” ? Traitez-vous les données personnelles d’autres sociétés ?

Il faut noter que les règles RGPD s’appliquent autant pour les responsables de traitement que pour les sous-traitants. Si, à titre d’exemple, vous mettez une plateforme à disposition des employés d’une entreprise ‘X’ afin de leur fournir un service de conciergerie, de gestion des ressources humaines (RH), etc. alors vous êtes considérés comme étant sous-traitant, au sens du RGPD.

Dans ce cas, vous traitez les données personnelles de sociétés tiers. Or, étant donné que la CNIL exige à ce que les entreprises ne doivent travailler qu’avec des organismes qui sont conformes, vous serez beaucoup plus forts en vous conformant au RGPD, et gagnerez de plus en plus d’appels d’offre. Vos clients vont donc vérifier votre mise en conformité afin d’assurer la leur. A ce sujet, suite à des audits de la part de leurs clients, beaucoup d’entreprises, qui ne sont pas conformes, pourraient perdre une partie de leurs clients existants.

Risque principal de non-conformité RGPD !

Il touche essentiellement le côté « Business ». En effet, pour une start-up, le risque d’être contrôlé par la CNIL reste réduit. En revanche, cette dernière exige aux entreprises de ne travailler qu’avec des organismes conformes, qui seront capables de préserver les données personnelles qu’ils traitent. De ce fait, en vous mettant en conformité RGPD, vous allez pouvoir dégager un avantage concurrentiel, et donc gagner de plus en plus d’appels d’offres.

De plus, respecter le RGPD vous permet de renforcer la confiance de vos utilisateurs, puisque votre plateforme respectera les normes de sécurité et de confidentialité. Cette dernière sera capable de protéger les données de vos utilisateurs contre les violations et les fuites.

CAS PRATIQUE

Startup du French Tech 120 : LeHibou

LeHibou est une plateforme de freelances informatiques moderne et intuitive qui réunit les meilleurs experts informatiques. Avec + 500 clients qui leur font confiance, la plateforme propose :

Un outil de recherche complet et intuitif pour ses clients ;
Des partenariats et un éco-système dynamique pour leur communauté de freelances ;
Un Freelance Management System dédié aux acheteurs des Grands Groupes.

LeHibou propose un accompagnement qui permet donc de garantir la qualification des profils sélectionnés, et de trouver l’expertise rare que leurs clients recherchent.

Pour ce faire, ils collectent et traitent les données personnelles des freelances utilisateurs de la plateforme comme :

les noms,
prénoms,
e-mails personnels ou professionnels,
téléphone,

ou proposent des accès et inscriptions via Google ou Linked In. Des accès qui utilisent le protocole sso, pour Single Sign-On.

Ces données collectées et traitées de différentes manières doivent avoir été validées par les freelances et utilisateurs. Dipeeo et LeHibou ont ainsi mis en place tous le cadre technique et juridique permettant une conformité totale du recueil et du traitement de ces données.

Dipeeo est à présent leur référent à la CNIL et gère l’ensemble des sujets RGPD de la startup.

Jean Thurière

Lead Insights & Analytics @ LeHibou | FT Next 120

« Plus que satisfait de la prestation de DIPEEO !
Ultra réactifs, professionnels, efficaces, je recommande ! »

2 - Prospection commerciale : légendes et réalités juridiques

Pour prospecter dans les règles de l’art, il faut connaître les règles RGPD pour 2 raisons :

ne pas prendre de risque de sanction ou de baisse de réputation.
pour ne pas se limiter dans ses pratiques commerciales !

En effet, par méconnaissance, de nombreuses sociétés appliquent de fausses règles, souvent des croyances. Par exemple, la nécessité du consentement pour prospecter en B2B…

Il n’est pas obligatoire de recueillir le consentement d’une personne dans le cadre d’une prospection B2B (de professionnel à professionnel),

Pour être conforme, vous devez bien choisir vos bases de données. En BtoC le consentement doit, explicitement, être demandé avant la prospection. Dans le cas contraire, vous aurez certainement des plaintes de la part de certaines personnes contactées. Dans ce cas, vous risquez une amende allant jusqu’à 20 Millions d’euros ou 4% de votre Chiffre d’Affaires.

Après avoir collecté vos bases de données et contacté vos prospects, il faut que vous ne dépassiez pas les durées de conservation prévues par le RGPD. A ce sujet, vous pouvez consulter notre article sur les Durées de Conservation des données personnelles qui traite le sujet en détails.

En se conformant au RGPD, vous pouvez montrer votre engagement à protéger les données à caractère personnel que vous traitez. Chose qui renforcera la confiance de vos futurs clients, et vous permettra d’avoir des relations plus durables avec eux. Par ailleurs, respecter le RGPD vis-à-vis de la prospection commerciale vous offre la possibilité d’avoir des bases de données de meilleure qualité.

Autrement dit, pour être conforme au RGPD, vous devez vous assurer que les données que vous collectez sont à jour. De ce fait, l’efficacité de vos campagnes de prospection ne va cesser de s’améliorer.

En respectant toutes ces règles, vous n’aurez ni plaintes ni réclamations, pour la simple raison que vous serez plus susceptibles de respecter la vie privée de vos prospects. Surtout que la CNIL n’intervient, généralement, que si elle reçoit de nombreuses plaintes de la part de prospects ou clients d’un organisme qui n’est pas conforme.

3 - Règles RGPD & RH : contraintes et valeur ajoutée

🔥 Le sujet est devenu l’un des plus sensibles car les plaintes RGPD déposées par des employés contre leurs employeurs explosent.

L’employeur doit respecter les règles de base comme ne collecter que des données nécessaires au bon fonctionnement de l’entreprise. Dans certains cas, il devra réaliser une Analyse d’Impact pour savoir s’il peut effectivement collecter cette information.

💨 Informer les employés

Le volet information des employés est clé.

Une politique de confidentialité exhaustive doit informer les employés des :

traitements de données personnelles réalisés,
durées de conservation,

différents droits des employés vis-à-vis de leur données.

Par ailleurs, le RGPD valorise la marque employeur. Se transformant en un argument RH, le RGPD est une preuve de transparence et de crédibilité et impacte donc positivement les candidats et les salariés. En plus de renforcer la confiance de vos employés, une mise en conformité RGPD vous permet d’avoir un niveau de transparence assez élevé.

Autrement dit, étant donné que le RGPD vous exige de fournir des informations claires et précises à vos employés, vous allez pouvoir améliorer la confiance et la transparence de vos pratiques en termes de protection de données à caractère personnel.

Dipeeo

en quelques mots

Dipeeo est un SAAS qui a comme mission de rendre le RGPD simple et accessible en proposant un service tout-inclus, et un accompagnement de bout-en-bout. Dipeeo s’inscrit dans le courant émergent des Legaltech visant à simplifier et rendre accessible le juridique.

📋 Deux autres exemple de startups du FT120 qui traitent des données personnelles

🐼 Alan est une assurance santé et prévoyance, partenaire santé tout-en-un. Il s’agit d’un groupe qui permet aux équipes de travailler et de vivre pleinement grâce à une approche proactive et holistique de la santé. Parmi les services qu’il propose :

Un coaching santé et bien-être personnalisé ;
Une assurance santé simple, et sans paperasse ;
Un suivi psychologique en illimité avec des psychologues diplômés.

« Alan, c’est comme avoir un médecin dans sa poche… » comme l’a affirmé l’un de leurs clients.

De par son service, Alan traite des données de santé, considérées comme étant sensibles par la CNIL. Chose qui nécessite une mise en conformité RGPD.

🔐 Qonto est un établissement de paiement régulé, agréé et supervisé par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Qonto compte plus de 350 000 clients, et traite, pour ceux-ci, leurs données financières, notamment en ce qui concerne :

Les factures clients et fournisseurs ;
La gestion des dépenses d’équipe ;
La comptabilité & Reporting.

Ce qui nécessite, également, une mise en conformité RGPD, en vue de sécuriser ces traitements.