Startups et Protection des données, un mariage heureux ?

XXIème siècle, siècle connecté ! Si le début des années 2000 marque l’avènement d’internet, la décennie actuelle est le témoin d’une passion dévorante pour la vie connectée (biens et services) et les big datas. Notre société semble avoir épousé l’idée d’une connexion permanente.

Les données générées par cette relation presque fusionnelle entre l’Homme moderne et « la toile » sont autant de potentiels économiques pour ceux sachant les exploiter. Le Règlement Général de Protection des Données [1] (RGPD) entrant en application le 25 mai 2018 vient légiférer cette relation. Son objectif est double : consacrer de nouveaux droits dans la protection des données personnelles et inciter les entreprises à changer de pratiques en matière de gestion de ces données.

Alors que différentes actions de sensibilisation [2] ont été menées auprès des acteurs économiques, les principes du RGPD (renforcement du droit des personnes, notion de co-responsable de traitement, responsabilité du sous-traitant, principes de privacy by design et de privacy by default…) s’inscrivent timidement dans la stratégie des entreprises. Si certaines structures [3]  ont déjà déployé des moyens allant dans le sens de la mise en conformité (ressources internes, consultants externes, utilisation de solutions SaaS …), toutes les entreprises n’ont pas encore commencé [4] notamment les startups qui semblent être en retrait sur ces questions.

Startups : si vous ne venez pas au RGPD, le RGPD viendra à vous

Le contexte d’ubérisation des services et de transformation digitale de la société a favorisé l’émergence des startups. Contrairement aux idées reçues, être une startup n’est pas une question d’âge, de taille ou de secteur d’activité. Souvent construite sur l’idée d’innovation, elle nécessite des investissements importants pour financer son fort potentiel de développement et sa croissance rapide. Elle va déployer ses ressources pour la visibilité de son produit et dévoiler ses charmes dans l’espoir de conquérir un marché. Airbnb a par exemple séduit sa clientèle en devenant le premier hôtelier au monde en nombre de chambres offertes [5]. Une fois conquis, les clients se dévoilent, en laissant une part d’eux-mêmes, des informations… de la donnée !

Or le postulat est clair : si des données personnelles sont traitées dans le cadre d’une activité d’un responsable de traitement ou un sous-traitant basé sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union, le RGPD s’applique. Si le responsable de traitement ou le sous-traitant n’est pas basé dans l’UE, le Règlement s’appliquera aussi si les activités de traitement sont liées à l’offre de biens ou de services, ou au suivi du comportement de ces personnes situées dans l’UE [6].

Proactives, bouillonnantes d’idées, les startups s’engagent dans l’action parfois tête baissée. Priorité sera donnée au développement des produits, à la recherche de fonds ou à la communication. Force est de constater que les startups n’ont souvent pas les ressources, le temps (ou l’envie ?) pour traiter de ces questions, souvent laissées à la marge, y compris dans l’accompagnement apporté par les incubateurs. Le mariage entre startups et RGPD est alors forcé, ou en a tous les symptômes avant-coureurs. A contrario, les entreprises plus traditionnelles semblent consentir à cette union de façon plus pragmatique et plus sage. Elles font appel à leurs collaborateurs/trices qui, sans pour autant en assurer l’application complète, peuvent impulser le mouvement vers une mise en conformité.
Entre mariage forcé et mariage de raison, toutes les entreprises y compris les startups sont concernées par cette union. Si les premières semblent plus conscientes des contraintes qu’un tel engagement implique, les secondes ne semblent pas y voir un frein à leur liberté d’entreprise.

Du rêve des startups à la réalité de leur rencontre avec le RGPD

Alors qu’on assiste en Europe à un véritable élan de création de startups, des voix de la Silicon Valley s’élèvent pour annoncer la fin de leur âge d’or [7]. Elles sont en effet victimes de leur pouvoir d’attraction. Pour se protéger de toute concurrence à leur position hégémonique, les GAFA [8] investissent sur de nouveaux marchés et achètent toute startup à fort potentiel dès son éclosion.

De la même façon, certains investissent aveuglément dans des startups en espérant y trouver une pépite aux potentiels de croissance comparables à Apple ou Microsoft. Mais si la mise de départ est aussi importante que la passion à l’origine de la relation, la rentabilité se construit et peut être plus difficile à atteindre. L’échec retentissant des startups Juicero [9] ou Take it easy [10] illustre bien la capacité de certains à investir leurs ressources dans des projets alors qu’aucune rentabilité n’a été démontrée. Bien souvent elle n’interviendra qu’à long terme une fois que le marché se sera stabilisé.

A ces fragilités structurelles viennent s’ajouter celles révélées par la rencontre houleuse entre Startups et RGPD. Qu’elles agissent en tant que responsable de traitement ou en tant que sous-traitant, la responsabilité des startups pourra être engagée si elles ne se conforment pas aux nouvelles exigences européennes. Une telle prise de risque pourrait provoquer la remise en cause de leur modèle de développement. Les levées de fonds aux montants parfois exorbitants poussent à se poser la question de savoir s’il existe une bulle spéculative autour des startups [11]. Alors que les voies de financement traditionnels (crédits, subventions, etc…) nécessitent souvent des preuves tangibles en termes de rentabilité ou de fiabilité pour être acceptés (un business plan crédible et cohérent par exemple), on peut imaginer, qu’avec l’épée de Damoclès d’une amende pouvant aller jusqu’à 4% du chiffre d’affaire consolidé, la conformité au RGPD soit une condition préalable avant tout investissement ou toute levée de fonds pour les startups. Les investisseurs pourront laisser libre court à leur envie de s’engager dans un projet en s’assurant que la problématique des données personnelles soit correctement gérée. Le Règlement joue le rôle de garde-fou en permettant d’établir un seuil minimum de confiance entre startups et investisseurs. La conformité au RGPD sera par conséquent un prérequis pour tout financement de startup.

L’heure de la conformité a sonné

Une startup spécialisée dans l’email marketing devra par exemple notifier à la personne concernée la finalité claire et précise de la collecte de ses données. Le contrat va plus loin puisqu’il exigera également le consentement clair et explicite de la personne dont les données auront été collectées. Si certaines techniques de captation et de collecte de données ont pu, autrefois, flirter avec la légalité (exit les cases pré-cochées ou les formulations alambiquées), ces pratiques ne seront plus possibles sous l’empire du RGPD. Au nom du respect du droit d’information des personnes [12], la startup aura l’obligation d’informer la personne concernée par la collecte de données, du but, de la durée de conservation de celles-ci ainsi que de l’identité et des coordonnées du responsable de traitement. Au nom du principe de transparence, toutes ces informations devront figurer dans les mentions légales ou dans une politique de confidentialité expliquant en termes clairs et précis le processus de gestion des données personnelles.

Au nom du principe de minimisation [13] des données, la startup devra également prouver que les données qu’elle collecte sont strictement nécessaires à la finalité poursuivie. Fini la pêche aux données massives dans les profondeurs du web sans finalités précises et sans contrôle préalable. Toute collecte de données à grande échelle devra préalablement donner lieu à des études d’impact [14] pour s’assurer que le traitement ne porte pas un haut risque pour les droits des personnes concernées.

Plus qu’une obligation légale, une opportunité concurrentielle

Si les obligations du RGPD ne sont pas mises en œuvre, la startup se trouvera rapidement dans une situation bancale voire intenable. Dans une relation B2B, par exemple, alors qu’il relève de la responsabilité d’un responsable de traitement de s’assurer que ses sous-traitants soient effectivement RGPD compliant, quel partenaire pourra se permettre d’entrer en relation d’affaires avec une startup sous-traitante qui ne présente pas assez de garanties de conformité ? Ou qui présente un niveau insuffisant de sécurité et de confidentialité des données ? On peut aisément penser que la conformité au RGPD sera le préalable à toutes relations économiques et deviendra très certainement une obligation pour répondre à des appels d’offres publics par exemple.

A la lecture des dispositions du RGPD (99 articles, 173 considérants), la mise en conformité peut représenter un défi complexe. Si certaines entreprises sont réticentes et perçoivent le RGPD comme un contrat de mariage trop contraignant, la mise en conformité est également présentée comme un avantage et une opportunité concurrentielle [15]. Dans le cadre de relations B2C, les utilisateurs sont de plus en plus soucieux de la maitrise et du sort de leurs données [16] ; ils seront de plus en plus à même de migrer vers de nouveaux services qui présentent une véritable valeur ajoutée « vie privé ». Le moteur de recherche français Qwant, qui a fait de la protection de la vie privée de ses utilisateurs l’épicentre de son business model, a doublé le nombre de ses utilisateurs mensuels en 2 ans [17]. La conformité peut être un argument marketing puissant. Elle peut, en tant que gage de confiance et indicateur de crédibilité, rassurer un client ou permettre de se démarquer d’une concurrence qui n’aurait pas emprunté cette voie.

Quelques startups, du fait de leur secteur d’activité, sont tout de même conscientes de cette nécessité. Les structures traitant de données sensibles (par exemple la healthtech) ont l’obligation légale de faire appel à un hébergeur agréé « données de santé » pour gérer les données médicales de leurs clients. Les cryptographes insistent sur la sécurité, la confidentialité et l’intégrité de leurs données, cœur de leur activité. Protéger l’actif immatériel que représentent les données par une sécurité adéquate des données est essentiel. Ainsi, les contrats entre responsable de traitement et sous-traitant devront contenir des clauses qui aménagent la sécurité des données et la responsabilité de chacun : doivent figurer des clauses relatives à la sécurité physique des données, à leur intégrité et à la traçabilité, ainsi qu’à à la localisation des serveurs. Toutes ces mesures juridiques, qui sont désormais des obligations du RGPD, se bornent à instaurer un climat de confiance.

La relation entre startup et RGPD en est encore à ses prémices, tout reste à construire ou à consolider. Si l’union peut provoquer des réticences, elle pourrait être particulièrement bénéfique pour les startups. Contrairement aux entreprises, une startup pourra avoir l’avantage d’une gestion moins hiérarchisée et moins structurée. La mise en place de l’accountability [18] et de ses processus pourra se faire plus facilement au sein d’une structure de type startup qui bénéficie d’une certaine agilité et adaptabilité dans la mise en place ou dans la révision des processus de gestion de données personnelles. Au contraire, pour une entreprise qui a déjà des processus bien établis, le changement apporté par le RGPD peut être mal reçu par les équipes opérationnelles qui y verront des contraintes plus que des avantages. La force et l’avantage des startups résident bien dans leur fonctionnement et leur capacité à s’adapter rapidement aux changements.

Image positive à tout prix !

Il est vital pour les startups d’instaurer un véritable management de la donnée car elles doivent se responsabiliser. De nombreux scandales et brèches de sécurité ont altéré la confiance des utilisateurs (Equifax, Ashley Madison, Yahoo..). Les vols de données ont un impact extrêmement négatif et le préjudice d’image pour les startups peut être irréparable aux yeux du public. Dernier épisode de piratage en date : Uber s’est fait voler les données personnelles de plus de 57 millions d’utilisateurs [19]. Plus grave encore, cette société a tenté de dissimuler cette faille de sécurité en versant une rançon aux pirates pour acheter leur silence. Nul ne peut prédire les conséquences que cela va avoir (Uber est déjà dans le viseur de la Federal Trade Commission pour une attaque en 2014) mais il y a fort à parier que ces nouvelles pourront freiner les futures levées de fonds ou les utilisateurs qui iront peut-être vers la concurrence.

Pour inciter les startups à respecter leur engagement, le RGPD renforce le panel de sanctions que l’autorité de contrôle peut prendre : avertissement, suspension de flux de données, amende administrative, etc… C’est sur ce dernier point que le RGPD a beaucoup fait couler d’encre. En cas de non-conformité, la sanction peut s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros, ou de 2 à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. La mise en œuvre de telles sanctions laisse certains acteurs perplexes, bien que celles-ci soient suffisantes pour laisser espérer un effet dissuasif. S’il est difficile de prédire le niveau d’exigence qui sera requis par la CNIL, la date du 25 mai 2018 doit être perçue par les startups comme une marche à gravir sur le chemin de la conformité. Il reste encore six mois, les contrôles de la CNIL et la jurisprudence permettront d’aiguiller les retardataires.

Chères startups, n’attendez plus, engagez-vous, épousez le RGPD ! L’heure de la conformité a sonné. De nombreux projets doivent être menés, il peut être judicieux de prioriser les chantiers à mener. Commencez par vous poser les questions suivantes : quelles sont les données récoltées ? Agit-on pour notre compte ou agit-on en tant que sous-traitant ? Où sont stockées les données, qui peut y avoir accès ? Comment les personnes sont informées que leurs données sont collectées ? Faites une cartographie des traitements et mettez en place un registre de traitement. N’hésitez pas à adopter labels ou certifications, indicateurs de confiance pour toutes les parties prenantes. En tout état de cause, la bonne foi et l’existence d’une réelle documentation de conformité seront des indices précieux qui permettront, en cas de contrôle de la CNIL, d’apprécier la démarche de la startup vers une gestion plus harmonieuse des données personnelles.


[1] Règlement (UE) 2016/679 du 27 avril 2016

[2] Par exemple, intervention d’Isabelle FALQUE-PIERROTIN, présidente de la CNIL, au MEDEF, https://www.cnil.fr/sites/default/files/atoms/files/intervention_medef_jeudi_2_mars_2017.pdf

[3] 44% des entreprises estiment être prêtes et en conformité avec le RGPD une fois arrivé à échéance

[4] 45% se disent peu ou pas du tout familiarisées face aux dispositions du RGPD

[5https://www.capital.fr/entreprises-marches/airbnb-le-triomphe-de-l-hotelier-sans-hotels-1070176

[6] Règlement (UE) 2016/679 du 27 avril 2016, article 3

[7https://techcrunch.com/2017/10/22/ask-not-for-whom-the-deadpool-tolls/

[8] Google, Amazon, Facebook, Apple, cet acronyme est utilisé pour désigner les géants du net

[9http://siliconvalley.blog.lemonde.fr/2017/09/01/juicero-la-start-up-devenue-la-risee-de-la-silicon-valley-ferme-ses-portes/

[10https://business.lesechos.fr/entrepreneurs/actu/take-eat-easy-clap-de-faim-pour-la-start-up-de-livraison-de-repas-212959.php

[11https://www.lesechos.fr/idees-debats/cercle/cercle-156718-faut-il-craindre-une-bulle-des-start-up-1219247.php

[12] Règlement (UE) 2016/679 du 27 avril 2016, article 13

[13] Règlement (UE) 2016/679 du 27 avril 2016, article 5

[14] Règlement (UE) 2016/679 du 27 avril 2016, article 35

[15] 80% des entreprises interrogées par IDC perçoivent le RGPD comme une opportunité concurrentielle notamment pour l’amélioration de la sécurité des données personnelles

[16] En 2017, 85% des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014, https://www.csa.eu/media/1667/1700780-csa-protection-des-donnees-personnelles.pdf

[17https://www.presse-citron.net/qwant-lanti-google-francais-recoit-de-plus-en-plus-de-visites/

[18] L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

[19http://www.lemonde.fr/entreprises/article/2017/11/21/uber-revele-que-les-donnees-de-57-millions-d-utilisateurs-ont-ete-piratees_5218307_1656994.html

Retour