Les startups qui traitent des données personnelles dans le cadre de leurs services sont légalement tenues de se conformer au règlement général sur la protection des données, ou «RGPD».
Près de deux ans après l’entrée en vigueur du règlement en mai 2018, le Parlement européen a conclu que, sur la base d’études et d’enquêtes récentes dans le monde, de nombreuses entreprises ne sont toujours pas conformes au RGPD. En fait, seulement 28% des personnes interrogées se sont conformées au RGPD, le Royaume-Uni et l’Allemagne étant les pays européens qui ont le taux de conformité le plus élevé. Les principales raisons de non-conformité sont le coût de mise en œuvre du cadre réglementaire, les difficultés en termes d’infrastructure et la complexité des exigences du RGPD.
Le RGPD tente de créer un cadre réglementaire pour permettre la libre circulation des données entre les États membres et au sein de l’Union européenne, et pour relever les défis que les grandes entreprises informatiques posent à la protection des données personnelles, imposant à cette fin des exigences strictes et complexes . Cependant, le règlement manque de fournir un cadre réaliste et approprié pour les startups et les PME en termes de conformité au RGPD.
Naviguer dans les exigences spécifiques du règlement n’est pas une tâche facile. Trop de règles et de concepts complexes (comme «Confidentialité par conception», «Confidentialité par défaut», «Évaluation de l’impact sur la vie privée»), sans guide pour les startups sur la façon de les mettre en œuvre compte tenu de leurs différences et de leurs besoins spécifiques, a fait de la conformité au RGPD un véritable défi en termes de temps et de coûts. Cependant, ne soyez pas trop découragé par les exigences complexes – la conformité au démarrage est possible si elle est menée en conformité avec votre portée et votre infrastructure en tant que petite entreprise.
Sur la base de ce qui précède, comment les startups devraient-elles penser le RGPD?
- Devenir légal et éviter les risques
La réalité est que le règlement est là pour être appliqué et les entreprises de toutes sortes, y compris les startups, sont tenues de le respecter de manière proactive sur la base du principe de responsabilité proactive proclamé par le règlement. Nous ne pouvons plus attendre qu’une violation de la sécurité se produise pour se conformer au règlement, car nous ne disposons que de 72 heures pour informer le régulateur et, dans certains cas, la personne concernée, d’une telle violation. En outre, le règlement impose des sanctions élevées en cas de violation de ces lois, qui présentent un risque pour toute entreprise, grande et petite, en cas de non-respect.
Les startups doivent commencer à voir la conformité au RGPD comme une opportunité d’évaluer les risques dans le traitement des données, également si des changements sont nécessaires dans son modèle commercial pour s’aligner sur les exigences et éviter les imprévus indésirables, ce qui peut affecter ses résultats économiques.
2. Attirer les investisseurs
Le RGPD a un impact profond sur le fonctionnement de la plupart des organisations et a radicalement changé la façon dont les startups reçoivent les investissements.
Les investisseurs veulent savoir si les locaux de la startup enfreignent le RGPD et, surtout, si le GDPR aura un impact sur le comportement des clients compte tenu du modèle commercial de la startup et affectera sa viabilité. Avec le droit à l’oubli et le droit à la portabilité des données, par exemple, les clients gagneront en puissance dans le traitement et le partage des données, ce qui rendra la monétisation gratuite de ces données plus difficile.
Les investisseurs considèrent non seulement le niveau de conformité de la startup avec le RGPD mais aussi si la stratégie de développement commercial qu’elle utilise est viable dans un environnement post-GDPR.
Les startups doivent considérer la conformité au RGPD comme faisant partie de leur stratégie commerciale et comme un moyen de générer la confiance des investisseurs dans leurs modèles commerciaux pour attirer de nouveaux investissements.
3. Protection des droits individuels et meilleurs services
L’un des objectifs du RGPD est de fournir aux individus une assurance concernant la protection de leurs données personnelles et leur droit à la vie privée.
La mise en œuvre de mesures de sécurité transparentes permettant aux clients d’exercer leurs droits individuels (tels que le droit d’être informé, le droit d’accès, le droit à l’oubli, pour n’en nommer que quelques-uns) contribuera certainement à instaurer la confiance entre les consommateurs. Cela augmentera à son tour le partage des données car les individus y accorderont en toute confiance l’accès, grâce au consentement et à la portabilité.
Le partage de données permettra aux startups et aux entreprises d’innover de meilleurs services personnalisés. Plus les données sont partagées sur la base de la confiance et du consentement, les meilleurs services seront créés du point de vue du client, car ils répondront à l’une des principales préoccupations de l’individu, à savoir le contrôle et la protection de leurs données personnelles.
4. Sécurité pour votre entreprise
Dans le cadre du RGPD, les entreprises doivent mettre en œuvre des mesures et des garanties appropriées pour la sécurité des données personnelles.
Les attaques de cybersécurité se sont développées de façon exponentielle, ce qui représente une menace réelle pour les entreprises. Les startups ne sont pas exemptées de ce scénario et pourraient être fortement impactées en cas de cyberattaque. Les réseaux wifi non protégés, les logiciels malveillants, les e-mails et les données cryptés, les mots de passe faibles et les employés non formés pourraient tous constituer un risque pour la sécurité des données.
Les startups doivent gérer leur conformité au RGPD pour éviter que les données ne soient compromises, ce qui peut affecter la poursuite de leurs activités.
5. Travailler avec des partenaires de confiance et protéger la réputation
Les startups voient toujours grand, il est donc temps de veiller à leur réputation à cette fin.
Le RGPD oblige les entreprises à partager les données personnelles de leurs clients avec des partenaires de confiance, appelés processeurs de données. Ces entreprises fournissent des services aux entreprises, ce qui implique d’avoir accès à leurs données personnelles, par exemple des services de stockage dans le cloud. Pour être un partenaire de confiance, ils doivent se conformer au RGPD et le prouver.
La réputation du marché peut être endommagée en cas de violation de la sécurité, de cyberattaque ou en cas de non-conformité au RGPD, soit par la startup, soit par toute entreprise qui lui fournit des services. Au final, ils sont une extension des services fournis par votre startup. Si cela se produit, les clients peuvent être mécontents car vous devrez peut-être les en informer, et les concurrents peuvent l’utiliser à leur avantage. Faire affaire avec des partenaires de confiance qui répondent aux exigences du RGPD contribue à bâtir une meilleure réputation et donne aux startups un avantage concurrentiel.
Convaincu? Prochaines étapes
Sur la base de ce qui précède, il est temps pour les startups de penser différemment la conformité au RGPD et de l’intégrer à leur stratégie commerciale et à leurs opérations quotidiennes, afin de mieux se positionner sur le marché. Pour commencer, vous pouvez essayer de trouver des domaines de votre entreprise où vous stockez ou gérez les données de vos clients: cookies de site Web, abonnés à la newsletter, informations d’achat de produits, inscriptions à des événements, etc.
Le Comité européen de la protection des données dispose de ressources sur l’application du RGPD à un niveau général, qui sont utiles à lire mais peuvent être assez longues. Pour des informations plus succinctes, chaque pays a sa propre agence de confidentialité des données qui fournira des informations et des conseils sur la conformité au RGPD, par exemple l’agence espagnole de confidentialité des données. Vous voudrez peut-être consulter leurs sites Web pour obtenir des conseils spécifiques dans votre langue.