Startups et protection des données - ou démarrage de la protection des données?!

Soyons honnêtes: la plupart des startups et des fondateurs débordent non seulement de bonnes idées, mais aussi en raison des innombrables exigences légales et bureaucratiques sur le chemin de la mise en œuvre de l'idée.

 

Il ne faut pas oublier que les exigences légales ne diminuent pas avec le temps. Une fois que vous avez clarifié les questions relatives à la création d'une entreprise, au droit fiscal ou au droit des marques, des questions ultérieures en matière de conformité attendent les jeunes entreprises. Celles-ci doivent également observer et mettre en œuvre une multitude d'exigences légales. En particulier, le sujet de la protection des données, c'est-à-dire la protection des données personnelles, a juste plus d'importance pour les startups, qui ont largement mis les modèles commerciaux numériques sur leurs pieds, qu'il n'en avait (ou n'aurait dû avoir) auparavant.

 

Les nouvelles réglementations à venir du règlement général de l'UE sur la protection des données (RGPD) s'adressent aux entreprises de toutes tailles qui traitent des données personnelles. À l'ère numérique d'aujourd'hui, cela s'applique à presque toutes les entreprises et startups. Dans le cas des startups mentionnées, qui développent ou souhaitent développer des produits et services numériques, il est d'autant plus conseillé d'inclure les questions de protection des données dans les premières étapes de la mise en œuvre de l'idée ou du développement du produit en raison des exigences plus strictes à venir. Cela peut empêcher un mauvais réveil, par exemple parce que l'application ou la solution de marketing en ligne prévue ne peut pas être mise en œuvre de manière réaliste pour des raisons de protection des données, ou parce que les exigences légales sont si élevées que la mise en œuvre échoue en pratique à cause d'elles.

 

Dans la phase suivante, il convient de garder à l'esprit que ce sujet est désormais en tête de liste pour les investisseurs. Au plus tard en matière de due diligence, des omissions émergent ici et dans le pire des cas entravent le financement espéré.

 

Par conséquent, le sujet de la protection des données en tant que startup et fondateur ne peut pas être à l'ordre du jour suffisamment tôt. Le RGPD y met désormais plus de pression. Les exigences pour le traitement légal des données personnelles sont en augmentation et notamment en raison des amendes sensiblement plus élevées (jusqu'à un maximum de 20 millions d'euros!), Il ne faut plus dire "ça va aller".

Certaines des obligations essentielles du RGPD, qui devraient être respectées dès que possible par les startups, sont :

1. Licéité du traitement

Le traitement des données personnelles est fondamentalement interdit, sauf autorisation expresse. Le consentement exprès de la personne concernée, par exemple l'acheteur / utilisateur d'une application, qui consent au traitement de ses données, peut être considéré comme une autorisation.

 

Des justifications légales sont également possibles. Par exemple, le traitement des données pour l'exécution d'un contrat est autorisé. Si, par exemple, vous utilisez un jeu mobile payant, le traitement des données pour l'inscription et le paiement est nécessaire à l'exécution du contrat.

 

Enfin, en plus d'autres options, le traitement est autorisé conformément au RGPD, notamment en fonction des intérêts légitimes du processeur. Il s'agit d'une base juridique possible, notamment pour la transformation dans le domaine de la commercialisation. Il suffit de vérifier au préalable si les intérêts de la personne concernée ne l'emportent pas et si le traitement des données doit donc être évité.

 

Ici, les startups qui traitent ou souhaitent traiter les données des utilisateurs / clients / clients potentiels doivent d'abord vérifier si cela est même autorisé. Le résultat de ce test doit également être documenté.

2. Obligation de transparence et d'information

En plus de la documentation de ces résultats, il est important de créer une transparence appropriée dans le traitement des données avant ou dès le début et d'informer de manière exhaustive les personnes concernées sur la façon dont et dans quelle mesure leurs données personnelles sont traitées. Outre la déclaration de protection des données sur le site (qui ne reçoit toujours pas l'attention appropriée partout), les déclarations spéciales de protection des données dans les applications (qui doivent répondre à des exigences légèrement différentes de celles du site), les informations dans le cadre des déclarations de consentement sont particulièrement pertinentes. Le consentement n'est effectif que s'il a été donné sur la base d'informations complètes. Il doit être informé, par exemple, que le consentement peut être retiré à tout moment.

 

Mais la transparence signifie également que vous devez informer sur ce que vous faites avec les données.

3. Droits des personnes touchées

Les personnes concernées disposent de droits étendus. En plus du droit à l'information sur les données qui sont stockées à leur sujet, le droit à la correction et à la suppression, le droit à la portabilité des données a été récemment introduit par le RGPD. Les personnes concernées ont le droit de demander que leurs données soient mises à leur disposition dans un format commun et lisible par machine. S'ils utilisent désormais une application développée par une startup ou un autre service en ligne, cette personne doit, si elle le souhaite, disposer des données qui ont été stockées à son sujet dans un format commun. Cela vise à faciliter le passage efficace des données d'un fournisseur à un autre et à tenir compte du principe de l'économie des données.

4. Documentation et responsabilité

Comme mentionné précédemment, les processus et décisions pertinents doivent être documentés. Il doit être démontrable à tout moment que le traitement des données personnelles est conforme aux exigences du RGPD.

 

Les documents requis à cet effet comprennent, par exemple, la liste des activités de traitement et l'analyse d'impact sur la protection des données. Une startup doit tenir un tel annuaire, même si elle compte moins de 250 salariés, comme prévu par la loi, si le traitement présente un risque pour les droits et libertés des personnes concernées. C'est le cas, par exemple, du traitement étendu des données par les applications et les services en ligne, dans lequel les données de paiement sont également traitées. Fondamentalement, on peut supposer qu'un tel répertoire doit être conservé et toujours tenu à jour.

 

L'évaluation d'impact sur la protection des données vise désormais à garantir que le sous-traitant, avant de commencer à traiter les données, réfléchit aux conséquences associées et évalue les risques. Cette évaluation doit être documentée. En particulier, les considérations de cette évaluation doivent être suivies.

5. Confidentialité par conception et confidentialité par défaut

Un autre principe essentiel auquel les startups ne peuvent pas adhérer suffisamment tôt est le «Privacy by Design». En conséquence, les aspects de protection des données doivent être pris en compte dès la phase de développement et à chaque étape de développement d'un produit tel qu'un logiciel, une application ou similaire. Il s'agit de garantir que seules les données réellement requises pour le service ou le produit respectif sont collectées et traitées.

6. Exigences de notification

En cas d'incident de protection des données, les obligations de déclaration doivent être respectées. En fonction de l'impact, par exemple en raison de la perte d'une grande quantité de données personnelles ou de données particulièrement sensibles, les autorités de contrôle de la protection des données peuvent être tenues de le signaler. Cette notification doit ensuite être faite dans les 72 heures suivant sa prise de connaissance, ce qui est difficilement gérable sans processus et précautions appropriés.

7. Traitement des données de commande

De plus, en tant que startup, vous comptez également sur une variété de services numériques qui vous facilitent la vie et prennent en charge les processus. À commencer par l'hébergement de sites Web, via les services cloud, le support informatique ou les logiciels RH. Tous ces prestataires de services sont en quelque sorte en contact avec des données personnelles, que ce soit «uniquement» les données de leurs propres employés. On parle alors de traitement des commandes (selon le BDSG actuel encore "traitement des données de commande"), ce qui nécessite un contrat correspondant avec le prestataire de services. Si vous ne signez pas un tel contrat, cela peut être très coûteux.

 

En particulier, travailler avec des fournisseurs de services américains pose d'autres défis qui doivent être relevés.

8. Délégué à la protection des données

Après tout, la question se pose pour une startup "avons-nous besoin d'un délégué à la protection des données"? D'une part, la réponse dépend du fait que vous atteigniez la «limite magique» de 10 employés qui sont constamment chargés du traitement des données personnelles. C'est le cas, par exemple, lorsque 10 employés utilisent un programme de messagerie. Mais même avec moins d'employés, il peut être nécessaire de nommer un délégué à la protection des données, par exemple si l'activité principale est le traitement de catégories de données spéciales.

 

Dans tous les cas, il convient de vérifier si la nomination d'un délégué à la protection des données est nécessaire. La pratique antérieure selon la devise "ok, tu le fais maintenant", selon laquelle tout employé a été "condamné", est risquée. Parce que les exigences pour une commande efficace ne sont pas exactement faibles. Par exemple, le délégué à la protection des données doit avoir une expertise particulière et être en conséquence fiable. Cela nécessite une formation complémentaire et des ressources de temps correspondantes. De cette façon, la mise en service d'un délégué à la protection des données externe, qui est explicitement mentionnée comme une possibilité par le RGPD, peut s'avérer nettement moins chère que l'embauche d'un employé pour cela.

Conclusion

Comme vous pouvez le voir, les exigences dans ce domaine ne sont pas exactement faibles. Il existe d'innombrables offres sur le net qui promettent une aide rapide. Celles-ci incluent des offres sérieuses qui ne sont généralement pas vraiment bon marché, mais également des offres qui promettent de créer les documents nécessaires en quelques clics et en quelques minutes. Il est douteux que ce dernier se rapproche même des exigences légales.

Vous avez des questions?

Note : veuillez remplir les champs marqués d'un *.