Les erreurs commises par les start-ups en matière de protection des données (et comment y remédier)

Lorsque l'on crée une start-up, la protection des données figure rarement en tête de liste des priorités. On se concentre sur le développement d'un produit, la recherche de clients et la bonne marche de l'entreprise. Les aspects juridiques, en particulier la protection des données, peuvent donner l'impression d'être une question à laquelle on reviendra lorsqu'on aura plus de temps et de ressources.

Le problème, c’est que lorsque la plupart des start-ups s’attaquent enfin à la protection des données, elles collectent et utilisent déjà des données à caractère personnel depuis des mois, voire des années, sans disposer des bases nécessaires. Rectifier le tir a posteriori est plus difficile et plus perturbant que de bien faire les choses dès le départ, et les conséquences d’une mauvaise gestion peuvent inclure des amendes réglementaires, une atteinte à la réputation et une perte de confiance de la part des personnes que vous essayez de servir.

Ce guide passe en revue les erreurs les plus courantes commises par les start-ups en matière de protection des données et, surtout, ce que vous pouvez faire pour y remédier.

Le RGPD britannique s'applique-t-il réellement à vous ?

Si votre start-up britannique traite des données à caractère personnel concernant quiconque, qu'il s'agisse de clients, d'utilisateurs, de visiteurs du site web, d'employés ou de toute autre personne, alors le Règlement général sur la protection des données du Royaume-Uni (RGPD britannique) s'applique à vous. Le RGPD britannique s’applique parallèlement à la loi de 2018 sur la protection des données et est mis en œuvre par l’Information Commissioner’s Office (ICO).

Le fait d’être une start-up ne vous exempte pas de ces obligations. Celles-ci s’appliquent indépendamment de la taille de votre entreprise, de votre secteur d’activité ou du nombre de personnes que vous employez. L’ICO tient compte du principe de proportionnalité lors de l’application de la loi, mais ce principe suppose que vous fassiez un effort sincère pour vous conformer. Il ne remplace pas la conformité.

La législation britannique sur la protection des données s'applique-t-elle si vous êtes basé à l'étranger ?

L'une des idées fausses les plus courantes chez les fondateurs qui développent des services destinés aux utilisateurs britanniques est que les règles ne s'appliquent que si votre entreprise est physiquement basée au Royaume-Uni. C'est une hypothèse compréhensible, mais le RGPD britannique ne fonctionne pas ainsi. Si votre produit ou service touche des personnes au Royaume-Uni, il y a de fortes chances que la loi s'applique déjà à vous, quel que soit le lieu d'enregistrement de votre société ou l'emplacement de vos serveurs.

Les deux critères permettant de déterminer si cela s'applique à vous

Le Bureau du commissaire à l'information (ICO) définit deux cas de figure dans lesquels une entreprise non britannique relève du champ d'application de la législation britannique en matière de protection des données. Le premier consiste à déterminer si vous proposez des biens ou des services à des personnes au Royaume-Uni. Cela inclut les services gratuits : il n'est pas nécessaire de facturer quoi que ce soit pour que ces règles s'appliquent. La seconde consiste à déterminer si vous surveillez le comportement de personnes résidant au Royaume-Uni, ce qui couvre des activités telles que le profilage, l'analyse comportementale et la publicité ciblée destinée à un public britannique.

Si l'une de ces descriptions correspond à l'activité de votre entreprise, le RGPD britannique s'applique à vous. Peu importe que vous n'ayez ni bureau, ni employés, ni présence juridique au Royaume-Uni.

Quelles sont vos obligations ?

Le fait d’être soumis à la législation britannique sur la protection des données implique les mêmes responsabilités fondamentales que pour toute organisation établie au Royaume-Uni. Vous devez identifier et documenter les données à caractère personnel que vous traitez concernant des personnes au Royaume-Uni, établir une base légale claire pour chaque type d’activité de traitement, maintenir des avis de confidentialité transparents, mettre en place des mesures de sécurité appropriées et respecter les droits des personnes sur leurs données, y compris le droit d’y accéder, de les corriger ou d’en demander la suppression.

La taille de votre entreprise ne vous dispense pas de ces obligations. L’ICO tient compte du principe de proportionnalité lorsqu’il s’agit de prendre des décisions d’application, mais la proportionnalité n’est pas synonyme d’exemption. Les obligations de base s’appliquent à votre entreprise, que vous ayez cinq utilisateurs au Royaume-Uni ou cinq millions.

Mesures supplémentaires pour les entreprises sans implantation au Royaume-Uni

Si votre organisation est établie en dehors du Royaume-Uni mais soumise à ces règles, deux autres éléments doivent être pris en compte, qui ne s’appliquent pas de la même manière aux entreprises basées au Royaume-Uni.

La première est de savoir si vous devez désigner un représentant au Royaume-Uni. Il s'agit d'une exigence formelle pour de nombreux responsables du traitement et sous-traitants non britanniques, et cela implique de désigner une personne basée au Royaume-Uni qui puisse servir de point de contact pour l'ICO et pour les personnes exerçant leurs droits en matière de données. Il existe des exemptions limitées pour les organisations dont le traitement est occasionnel, à faible risque et n'implique aucune catégorie particulière de données, mais si votre produit compte des utilisateurs réguliers au Royaume-Uni, vous ne serez probablement pas concerné.

La deuxième concerne la manière dont les flux de données entre votre pays et le Royaume-Uni sont gérés. Le transfert de données à caractère personnel hors du Royaume-Uni vers un pays ne bénéficiant pas d’une décision d’adéquation nécessite la mise en place d’un mécanisme juridique, tel que l’accord britannique sur les transferts internationaux de données ou des clauses contractuelles types. Cette mesure n’est pas facultative, et il vaut mieux s’en assurer dès le départ plutôt que d’essayer de la mettre en place a posteriori.

Comment savoir si le RGPD britannique s'applique réellement à votre entreprise

Un bon point de départ consiste à vérifier si votre produit ou votre stratégie marketing cible activement les utilisateurs britanniques. Des prix affichés en livres sterling, des options de livraison spécifiques au Royaume-Uni, des campagnes publicitaires destinées à un public britannique, des numéros de téléphone britanniques indiqués sur votre site web ou un contenu rédigé explicitement pour un public britannique sont autant d'indicateurs forts que vous proposez des biens ou des services à des personnes résidant au Royaume-Uni au sens de la réglementation.

Si vous constatez l'un de ces éléments, il est raisonnable de supposer que le RGPD britannique s'applique et de commencer à mettre en place les bases nécessaires : recenser les données à caractère personnel que vous collectez sur les utilisateurs britanniques, identifier votre base légale pour leur traitement, rédiger une déclaration de confidentialité claire, préciser la durée de conservation des données et les raisons de cette conservation, et vous assurer que vos mesures de sécurité sont adaptées au risque.

Si vous n'êtes pas certain que l'obligation de désigner un représentant s'applique à votre situation, ou si vous devez déterminer quel mécanisme de transfert convient à votre cas, demander conseil à un avocat spécialisé en protection des données et habilité au Royaume-Uni est le moyen le plus fiable d'y voir plus clair. Le coût d'une mise en conformité précoce est considérablement inférieur à celui de la gestion d'une plainte ou d'une enquête réglementaire ultérieure.

Savoir pourquoi vous êtes légalement autorisé à utiliser les données des personnes

L'une des exigences fondamentales du RGPD britannique est que vous devez disposer d'une base légale pour chaque type de traitement de données à caractère personnel que vous effectuez. Vous ne pouvez pas simplement collecter des données parce qu'elles vous semblent utiles ou parce que votre produit en a besoin. Vous devez identifier à l'avance laquelle des six bases légales disponibles s'applique à ce que vous faites.

Les bases les plus couramment utilisées sont le consentement, les intérêts légitimes et l'exécution d'un contrat. Chacune comporte ses propres conditions. Le consentement doit être librement donné, spécifique, éclairé et sans ambiguïté, ce qui signifie que les cases pré-cochées ne comptent pas et que le fait d’intégrer le consentement à vos conditions d’utilisation n’est pas suffisant. Les intérêts légitimes vous obligent à effectuer un test de mise en balance pour vous assurer que vos intérêts commerciaux ne l’emportent pas sur les droits des personnes concernées. L’ICO propose un guide détaillé sur les bases légales qui expose précisément ce que chacune exige et quand il est approprié de l’utiliser. Si vous ne pouvez pas identifier clairement votre base légale pour un type particulier de traitement, cela signifie que vous devez soit en établir une, soit cesser ce traitement.

Omettre la politique de confidentialité ou en utiliser une qui ne correspond pas

Vous êtes légalement tenu d'informer les personnes de la manière dont vous utilisez leurs données à caractère personnel, et ces informations doivent être fournies de manière claire et accessible. La plupart des start-ups n’ont soit aucune déclaration de confidentialité, soit un modèle générique copié depuis un autre site web qui ne correspond en rien à ce qu’elles font réellement avec les données.

Votre déclaration de confidentialité doit expliquer quelles données à caractère personnel vous collectez, la base légale de cette collecte, les finalités pour lesquelles vous les utilisez, la durée de conservation, les destinataires avec lesquels vous les partagez, si des données sont transférées en dehors du Royaume-Uni, et quels sont les droits des personnes concernées. Elle doit être rédigée dans un langage simple et être véritablement facile à trouver, sans être enfouie dans un pied de page ou cachée derrière plusieurs clics. L'ICO fournit une liste de contrôle et un modèle de politique de confidentialité qui constituent un point de départ utile pour faire les choses correctement.

Collecter plus de données que ce dont vous avez réellement besoin

Le RGPD britannique inclut un principe de minimisation des données, ce qui signifie que vous ne devez collecter que les données à caractère personnel qui sont réellement nécessaires à la finalité spécifique que vous avez définie. Collecter des données à titre préventif sous prétexte qu’elles pourraient s’avérer utiles n’est pas conforme et engendre des risques inutiles. Plus vous détenez de données, plus l’impact potentiel d’une violation est important et plus votre charge de conformité est lourde.

Une bonne habitude à intégrer à votre processus de conception de produit consiste à vous demander, pour chaque information que vous demandez aux utilisateurs, si votre produit ne fonctionnerait vraiment pas sans elle. Si la réponse honnête est non, il y a de bonnes raisons de ne pas la collecter.

Absence d'accords de traitement des données

Si vous utilisez des outils ou des services tiers qui traitent des données à caractère personnel pour votre compte, tels qu'un CRM, un fournisseur de stockage dans le cloud, une plateforme d'email marketing ou un outil d'analyse, vous êtes probablement tenu de conclure un accord de traitement des données (DPA) avec chacun d'entre eux. Il s'agit d'une obligation légale en vertu de l'article 28 du RGPD britannique.

Un DPA définit ce que le tiers est autorisé à faire avec les données, comment il doit les protéger et ce qui se passe en cas de problème. De nombreux fournisseurs de logiciels proposent des DPA standard pouvant être signés sur demande, mais l'essentiel est qu'ils soient effectivement signés. L'absence d'accord constitue une violation de la conformité, même si vous avez conclu un contrat commercial plus large avec le fournisseur.

Conservation des données pendant trop longtemps

Le principe de limitation de la conservation des données du RGPD britannique vous oblige à ne conserver les données à caractère personnel que pendant la durée nécessaire à la finalité pour laquelle elles ont été collectées. Conserver des données indéfiniment, au cas où elles pourraient être utiles plus tard, n’est pas conforme.

Vous devez disposer d’une politique de conservation des données qui précise la durée de conservation des différentes catégories de données et ce qu’il en advient à l’expiration de cette période. Ce document n'a pas besoin d'être long, mais il doit exister et être respecté dans la pratique. Lorsque les données arrivent à la fin de leur période de conservation, elles doivent être supprimées de manière sécurisée ou anonymisées.

Absence de plan en cas de violation de données

Si votre start-up subit une violation de données à caractère personnel susceptible d'entraîner un risque pour les personnes concernées, vous êtes tenu d'en informer l'ICO dans les 72 heures suivant la prise de connaissance de cette violation. Si la violation est susceptible d’entraîner un risque élevé pour les personnes concernées, vous devez également les informer directement.

De nombreuses start-ups n’ont pas de plan en place pour ce scénario, ce qui signifie qu’en cas de violation, elles essaient de déterminer la marche à suivre alors que le délai de notification a déjà commencé à courir. Le simple fait de disposer d’un plan documenté, même basique, précisant qui est responsable, ce qu’il doit évaluer, dans quels délais il doit escalader le problème et comment les notifications doivent être effectuées, réduit considérablement à la fois le risque juridique et le chaos opérationnel. L'ICO propose des conseils sur la déclaration d'une violation de données qui exposent clairement le processus.

Et maintenant ?

La protection des données ne doit pas être une source d'angoisse permanente. La plupart des erreurs courantes abordées dans ce guide peuvent être corrigées, et leur correction ne nécessite pas des mois de travail ni un budget important. L'ICO dispose d'une section dédiée de conseils pour les petites organisations et les start-ups qui détaille les exigences clés en termes simples et mérite d'être lue attentivement.

Si vous êtes confronté à une situation spécifique qui vous semble complexe, ou si vous souhaitez vous assurer que les bases de votre protection des données sont correctement en place, il est toujours utile de demander conseil à un avocat spécialisé en protection des données. Il est nettement moins coûteux de mettre les choses en ordre dès maintenant que de devoir résoudre des problèmes après une plainte ou une enquête réglementaire.

Comment Gerrish Legal peut vous aider? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal