Le respect des règles relatives à la protection des données personnelles est rarement considéré comme un sujet prioritaire par les start-up. Ces règles sont pourtant devenues l’un des éléments clés de la conformité règlementaire et font l’objet d’un contrôle systématique lors de tout audit juridique lors de l’entrée d’un investisseur ou lors d’une acquisition.

Plus important encore, la conformité en matière de traitement des données personnelles est devenue une problématique déterminante pour les plus grandes entreprises, qui peuvent être vos partenaires ou vos clients. Il vous faut donc pouvoir répondre efficacement à leurs préoccupations sur ce sujet.

Le bon moment pour vous mettre en conformité, c’est maintenant ! Voici les principales questions à vous poser :

1. L’activité de ma société implique-t-elle le traitement de données personnelles ?

Attention, les données personnelles ne se limitent pas au nom et au prénom, mais concernent toutes les informations relatives à une personne identifiée ou qui peut l’être. Par exemple : le numéro de téléphone, numéro de carte bancaire, une donnée de géolocalisation, un parcours de navigation établi à l’aide de cookies, etc.

Note : même si votre entreprise traite peu de données personnelles, la règlementation concerne a minima les données de vos salariés et de clients/prospects.

2. Pour quelles finalités les données personnelles sont-elles collectées ?

Le principe cardinal du droit de la protection des données personnelles est le principe de finalité, ce qui signifie que les données doivent être collectées pour un but connu, légitime, et licite (e.g. gestion de la relation client), et ne doivent pas être réutilisées ensuite pour une finalité différente.

Vous ne pouvez pas vous contenter d’indiquer que les données sont « collectées pour être exploitées ». Vous devez préciser l’objet de cette exploitation.
Par ailleurs, si vous commercialisez des montres connectées, il n’est pas nécessairement légitime de transmettre automatiquement les données de vos clients à des marques d’équipements de running sans formalité spécifique et sans avoir obtenu le consentement de vos clients.

3. Les données collectées sont-elles vraiment nécessaires pour les finalités des traitements effectués par mon entreprise ?

Il faut garder à l’esprit que seules les données personnelles qui sont nécessaires à réaliser la finalité envisagée doivent être collectées.
Par exemple, un site e-commerce n’a pas besoin de connaître les orientations politiques de ses clients afin de leur livrer les biens commandés. Seules les coordonnées (nom, prénom, adresse et numéro de téléphone) sont pertinentes. En revanche, le site peut éventuellement demander à ses utilisateurs leur date de naissance, afin d’envoyer une offre commerciale ciblée à l’occasion de leur anniversaire.

Cette règle se traduit également en termes de durée de conservation : les données ne doivent pas être conservées de manière non anonymisée au-delà de la durée nécessaire à la réalisation de la finalité. La CNIL considère par exemple que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.

4. Ai-je bien informé les personnes concernées au moment de la collecte ?

L’exigence de loyauté requiert que les personnes concernées soient informées :

(i) des raisons pour lesquelles vous collectez leurs données personnelles,
(ii) des éventuels destinataires à qui celles-ci seront transmises,
(iii) de la durée pour laquelle vous les conserverez, ainsi que
(iv) des droits dont ces personnes disposent (accès, rectification, opposition) et des modalités de leur exercice.

Sachez-le : en matière de traitement de données personnelles, il est possible de faire beaucoup de choses à condition d’en informer convenablement les personnes concernées. Délivrée de manière complète et conforme à la règlementation, l’information permet à elle seule de valider juridiquement la collecte et l’utilisation des données dans la plupart des cas.

5. Dois-je obtenir le « consentement » des personnes pour traiter leurs données ?

Certains traitements de données nécessitent de recueillir préalablement le consentement des personnes concernées, au-delà de leur simple information. Par exemple :

• si vous souhaitez envoyer de la prospection commerciale, il vous faudra selon les cas et les modes de prospection envisagés (email, sms, courrier, etc.), soit obtenir un « opt-in » (consentement préalable exprès), soit proposer un « opt-out », c’est-à-dire donner la possibilité à la personne de s’opposer à tout moment au traitement ;
• vous devez obtenir un consentement préalable (« opt-in ») pour la collecte et l’utilisation de données sensibles (santé, etc.).

6. Est-ce que je transfère des données personnelles en-dehors de l’Union Européenne ?

Vous pouvez transférer des données personnelles à des entités localisées en dehors de l’Union Européenne en toute connaissance de cause, par exemple à votre société mère ou à une filiale, ou à un prestataire de services qui agit pour votre compte ; mais attention, vous pouvez aussi transférer des données sans vous en rendre compte, par exemple car les serveurs de votre hébergeur sont situés aux Etats-Unis, ou parce que votre call center est installé au Maroc.

Un certain nombre de mesures devront être mises en œuvre selon les cas.
Pour plus d’infos cliquez-ici

7. Quelles formalités dois-je faire (déclarations, autorisations, etc.) ?

En fonction des finalités pour lesquelles vous traitez des données personnelles, vous devrez réaliser différents types de formalités auprès de la CNIL (déclaration ou demande d’autorisation).

Pour certains types de traitements très usuels (gestion des clients et prospects, gestion des RH, accès aux locaux par un système de badges, mise en place d’un dispositif d’alerte professionnelle), il existe des normes simplifiées auxquelles il vous suffira de soumettre un engagement de conformité. Pour d’autres, généralement mis en place par toute entreprise (gestion de la paie, fichier des fournisseurs), la CNIL a également adopté des dispenses. Si vous désignez un correspondant informatique et libertés (CIL), votre entreprise sera exemptée de tout déclaratif (sauf pour les traitements nécessitant une « autorisation » de la CNIL), mais votre CIL devra tenir à jour un registre listant tous les traitements réalisés, ainsi que leurs caractéristiques.

***

Les données qui ne sont pas valablement collectées ou traitées risquent d’être inexploitables. Selon vos activités et le secteur dans lequel vous opérez (notamment : santé, biotechnologies, marketing et publicité, etc.), la conformité en matière de traitement des données personnelles peut donc aller jusqu’à impacter votre modèle économique et la valeur de votre entreprise.

Les règles de bases ne sont pas si complexes. Prenez quelques instants pour vous poser les questions ci-dessus et réfléchir aux mesures à mettre en place afin de réaliser vos traitements en toute conformité.

La règlementation est par ailleurs en plein mouvement sous l’effet des nouveaux textes européens. Le bon moment pour vous mettre en conformité, c’est maintenant !