06 février 2018

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#159 synthèse RGPD pour start-up accélérée (Axeleo 6 février 2018)

#159 synthèse RGPD pour start-up accélérée (Axeleo 6 février 2018)

[6 février 2018] Et lorsque un « accélérateur » de starts-up me demande de venir sensibiliser ses jeunes pousses sur la législation données à caractère personnel ? Bien sûr que je me déplace ! Et ce matin, c’était « synthèse expresse RGPD pour start-up accélérée« . Moins de slides pour plus de questions pragmatiques  d’un public professionnel, principalement composé de prestataires en mode SaaS, qui proposent des services numériques innovants à leurs clients pro (BtoB) et parfois aux users de leurs clients pro (BtoBtoC). Et devinez de quoi nous avons parlé ? Ben… des traitements de données opérés par des prestataires agiles et innovants. C’est drôle ce que les choses deviennent concrètes lorsqu’on évoque les fichiers clients / prospects / salariés, non ? (le lien http proposé vous guidera vers la même présentation, mais en version longue… longue comme la GDPR…).
Merci à Eric Mahé qui dirige Axeleo, accélérateur de professionnels en plein croissance, et à Judith Kreyder, Community Development Manager, pour leur accueil en cette matinée neigeuse sur Paris (oui, le café était bienvenu !).
Comme promis, tout est dans le slider, en consultation libre et gratuite (heuuuu, non, désolé, mes slides ne sont pas téléchargeables !)
[wonderplugin_gallery id= »174″]


RGPD pour start-up accélérée : la réalité sur les obligations du RGPD-GDPR

Non, ni vous les pro du service en mode SaaS, ni nous, avocats avec nos fichiers prospects, personne ne va mourir le 25 mai 2018. Oui, dorénavant, il y a quelques règles élémentaires à respecter. Franchement, depuis 1998 (arrivée de Google), c’était n’importe quoi les « données personnelles ». Il était temps qu’un peu de règlementation vienne mettre du bon sens et quelques obligations à la charge des pro. Alors, au final, ne sont-ce pas que des bonnes pratiques à mettre en oeuvre ?
RGPD pour start-up accélérée


RGPD pour start-up accélérée : la réalité des métadonnées à caractère personnel

C’était nébuleux pour vous, les données personnelles ? Vous, les pro, vous savez ce que sont les métadonnées. Mais l’adéquation données personnelles vs métadonnées, vous n’y pensiez pas ? (bien sûr, ça en arrangeait certains…). Voyons maintenant la réalité en face : les « données à caractère personnel », ce sont principalement des métadonnées de communications électroniques. Hé oui…
RGPD pour start-up accélérée


RGPD pour start-up accélérée


RGPD pour start-up accélérée : responsable du traitement ou sous-traitant ?

Là, c’est rigolo, dès que j’explique que l’obligation d’information ne pèse que sur les « responsables de traitement », les prestataires « sous-traitants » s’agitent avec un sourire aux lèvres.

Si je suis « responsable de traitement » ?

RGPD pour start-up accélérée


Et si je suis « sous-traitant » ?

RGPD pour start-up accélérée


RGPD pour start-up accélérée


RGPD pour start-up accélérée : « privacy by design » et minimisation

Lorsque vous développez des outils logiciels pour vos clients, ou que votre « techno » est utilisable en mode SaaS par vos clients BtoB (ou BtoBtoC), dans trois mois, c’est « privacy by design » pour tout le monde…
synthèse expresse RGPD pour start-up accélérée


Et la capacité matérielle de votre outil logiciel doit tenir compte de l’obligation légale de minimiser la quantité de données que votre client (responsable du traitement) peut récupérer par l’usage de votre soft / service. C’est le principe de minimisation. Tout le contraire de ce que fait Google depuis 1998…
synthèse expresse RGPD pour start-up accélérée


RGPD pour start-up accélérée : l’obligation d’information pour vos clients !!!

Si votre client vous demande de traiter ses data, c’est bien que ce ne sont pas les vôtres. C’est donc  au « responsable du traitement » d’informer les personnes concernées. Pour ne retenir que 3 points essentiels de cette obligation d’informer, il faut

(i) préciser les finalités du traitement

synthèse expresse RGPD pour start-up accélérée


(ii) dévoiler la base juridique parmi les 6 options prévues au RGPD

synthèse expresse RGPD pour start-up accélérée


(iii) rappeler l’existence des droits RGPD-GDPR

synthèse expresse RGPD pour start-up accélérée


(iv) et on n’oublie pas le (cas à part du) droit d’opposition à prospection et profilage

synthèse expresse RGPD pour start-up accélérée


RGPD pour start-up accélérée : les nouvelles obligations

Evidemment, puisque vous n’êtes plus obligé de déclarer vos traitements à) la CNIL, il va falloir tenir un « registre des activités des traitements »? ça ne devrait pas être trop compliqué pour les prestataires de service en mode SaaS…
synthèse expresse RGPD pour start-up accélérée


Last but not least…

RGPD pour start-up accélérée : l’obligation technique de sécurisation

synthèse expresse RGPD pour start-up accélérée


synthèse expresse RGPD pour start-up accélérée


synthèse expresse RGPD pour start-up accélérée


synthèse expresse RGPD pour start-up accélérée


synthèse expresse RGPD pour start-up accélérée 22


RGPD pour start-up accélérée : pensez à mettre vos contrats à jour

synthèse expresse RGPD pour start-up accélérée 23


synthèse expresse RGPD pour start-up accélérée 24


RGPD pour start-up accélérée 99


RGPD pour start-up accélérée :

merci à l’éditeur de la BD qui vous permet d’apprendre avec de si beaux dessins !!!
synthèse expresse RGPD pour start-up accélérée 25


 

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​