#159 synthèse RGPD pour start-up accélérée (Axeleo 6 février 2018)

[6 février 2018] Et lorsque un « accélérateur » de starts-up me demande de venir sensibiliser ses jeunes pousses sur la législation données à caractère personnel ? Bien sûr que je me déplace ! Et ce matin, c’était « synthèse expresse RGPD pour start-up accélérée« . Moins de slides pour plus de questions pragmatiques d’un public professionnel, principalement composé de prestataires en mode SaaS, qui proposent des services numériques innovants à leurs clients pro (BtoB) et parfois aux users de leurs clients pro (BtoBtoC). Et devinez de quoi nous avons parlé ? Ben… des traitements de données opérés par des prestataires agiles et innovants. C’est drôle ce que les choses deviennent concrètes lorsqu’on évoque les fichiers clients / prospects / salariés, non ? (le lien http proposé vous guidera vers la même présentation, mais en version longue… longue comme la GDPR…).
Merci à Eric Mahé qui dirige Axeleo, accélérateur de professionnels en plein croissance, et à Judith Kreyder, Community Development Manager, pour leur accueil en cette matinée neigeuse sur Paris (oui, le café était bienvenu !).
Comme promis, tout est dans le slider, en consultation libre et gratuite (heuuuu, non, désolé, mes slides ne sont pas téléchargeables !)
[wonderplugin_gallery id= »174″]

RGPD pour start-up accélérée : la réalité sur les obligations du RGPD-GDPR

Non, ni vous les pro du service en mode SaaS, ni nous, avocats avec nos fichiers prospects, personne ne va mourir le 25 mai 2018. Oui, dorénavant, il y a quelques règles élémentaires à respecter. Franchement, depuis 1998 (arrivée de Google), c’était n’importe quoi les « données personnelles ». Il était temps qu’un peu de règlementation vienne mettre du bon sens et quelques obligations à la charge des pro. Alors, au final, ne sont-ce pas que des bonnes pratiques à mettre en oeuvre ?

RGPD pour start-up accélérée : la réalité des métadonnées à caractère personnel

C’était nébuleux pour vous, les données personnelles ? Vous, les pro, vous savez ce que sont les métadonnées. Mais l’adéquation données personnelles vs métadonnées, vous n’y pensiez pas ? (bien sûr, ça en arrangeait certains…). Voyons maintenant la réalité en face : les « données à caractère personnel », ce sont principalement des métadonnées de communications électroniques. Hé oui…

RGPD pour start-up accélérée : responsable du traitement ou sous-traitant ?

Là, c’est rigolo, dès que j’explique que l’obligation d’information ne pèse que sur les « responsables de traitement », les prestataires « sous-traitants » s’agitent avec un sourire aux lèvres.

Si je suis « responsable de traitement » ?

Et si je suis « sous-traitant » ?

RGPD pour start-up accélérée : « privacy by design » et minimisation

Lorsque vous développez des outils logiciels pour vos clients, ou que votre « techno » est utilisable en mode SaaS par vos clients BtoB (ou BtoBtoC), dans trois mois, c’est « privacy by design » pour tout le monde…

Et la capacité matérielle de votre outil logiciel doit tenir compte de l’obligation légale de minimiser la quantité de données que votre client (responsable du traitement) peut récupérer par l’usage de votre soft / service. C’est le principe de minimisation. Tout le contraire de ce que fait Google depuis 1998…

RGPD pour start-up accélérée : l’obligation d’information pour vos clients !!!

Si votre client vous demande de traiter ses data, c’est bien que ce ne sont pas les vôtres. C’est donc au « responsable du traitement » d’informer les personnes concernées. Pour ne retenir que 3 points essentiels de cette obligation d’informer, il faut

(i) préciser les finalités du traitement

(ii) dévoiler la base juridique parmi les 6 options prévues au RGPD

(iii) rappeler l’existence des droits RGPD-GDPR

(iv) et on n’oublie pas le (cas à part du) droit d’opposition à prospection et profilage…

RGPD pour start-up accélérée : les nouvelles obligations

Evidemment, puisque vous n’êtes plus obligé de déclarer vos traitements à) la CNIL, il va falloir tenir un « registre des activités des traitements »? ça ne devrait pas être trop compliqué pour les prestataires de service en mode SaaS…