RGPD – Comment la « Startup Nation » s’organise ?

Les startups ne sont pas plus préparées que les autres

Selon une enquête internationale réalisée par Mailjet : sur plus de 4 000 startups sondées, la majorité néglige de se mettre en conformité alors que 91% des startups, tous domaines d’activité confondus, collectent les données personnelles de leurs clients. Il est aujourd’hui essentiel de protéger ce nouvel « Or Noir » qui s’accumule dans des gisements de Big Data. Une donnée présente partout, que ce soit sur le cloud public, privé, privatif, qu’elle passe par les réseaux locaux, sociaux, privés ou professionnels.

Isabelle Falque-Pierrotin, la présidente de la Cnil, précisait lors de la présentation du rapport d’activité 2017 que l’application du RGPD au sein des startups devait être envisagée « autrement » puisqu’elles ont des besoins spécifiques. Si elles sont souvent très réactives et matures technologiquement, elles n’ont en revanche pas beaucoup de ressources à consacrer à des enjeux de régulation. Cependant, cette nouvelle réglementation très attendue est un pari à relever pour la Startup Nation. Pour favoriser son adoption et promouvoir un modèle européen, les autorités comptent sur nous pour s’emparer du règlement et en faire une opportunité business notamment au niveau international.

Tous concernés, tous impactés

La RGPD concerne toutes les entreprises qui utilisent des données personnelles d’individus dans le cadre de leurs activités. Ces personnes peuvent être des clients ou futurs clients (B2B), des utilisateurs directs (B2C) ou des utilisateurs indirects (B2B2C). Il peut également s’agir de nos propres collaborateurs ! Cette réforme impacte toutes les fonctions de l’entreprise dont les Directions des Ressources Humaines, directement concernées par les processus et solutions autour des données qui collectent, traitent et stockent des volumes importants de données à caractère personnel. Cela commence dès le recrutement de candidats et se poursuit tout au long de la vie des collaborateurs. Cela s’applique également aux prestataires RH, startups de la HRTech, les cabinets de recrutement… Les entreprises du numérique exploitant un volume important de données d’internautes (Big Data), comme c’est le cas de Golden Bees, sont bien évidemment concernées.

RGPD : un pari compliqué à relever pour les Startups ?

En évoluant dans un monde régit par la donnée, il ne faut pas percevoir la RGPD comme un frein ou une contrainte. Les startups travaillant la donnée doivent dès leur création penser et développer leurs outils dans le respect de la CNIL et des utilisateurs. Il est normal que la législation évolue afin d’éviter les dérives et cette nouvelle réglementation n’est finalement qu’un prolongement de tout ce qui a déjà été fait. Sur le long terme, la RGPD va s’ancrer dans l’ADN de toutes les entreprises concernées. Elles vont devoir prendre systématiquement en compte les mesures techniques et organisationnelles nécessaires pour le développement et la mise en place de produits et services (privacy by design).

Au niveau de la croissance, la RGDP n’impacte pas directement le business. Elle a d’abord pour objectif de préserver au maximum les données personnelles de chaque personne. Or, comme le stipule notre Charte de la protection de la vie privée, les données que nous collectons sont uniquement liées aux intérêts et aux profils professionnels des internautes afin de leur diffuser des offres d’emploi qui leurs correspondent. De ce fait, nous ne collectons pas de données sensibles comme le nom, prénom ou l’adresse mail.

Enfin, les internautes ont facilement la possibilité de supprimer les cookies de leur navigateur stocké dans notre système informatique directement depuis nos bannières ou sur notre site.

Le principal impact repose finalement sur le facteur temps, car pour respecter les différentes clauses, cela demande de mettre en place de nouveaux process qui pour certains peuvent être relativement chronophages. Et même si nous avions déjà mis en place un certain nombre de dispositifs obligatoires, tels qu’un cadre juridique, des CGU « data compliant », une charte de protection de la vie privée accessible en ligne ou encore une notification sur la collecte de cookies sur notre site internet… nous devons maintenant aller plus loin, pour justifier de notre statut de « garants de la protection et de la bonne utilisation des données ». Cela passe notamment par la mise en place et le suivi de différents registres.

En parallèle, le niveau de transparence imposé par la réglementation implique la mise en place d’un système d’information renforcé sur la nature et l’utilité des informations collectées qui soit plus accessible, plus transparent et plus simple pour les personnes dont les données sont exploitées par l’entreprise. Il s’agit donc d’améliorer les supports existants, ce qui en soit est tout à notre avantage. Par essence notre service existe pour favoriser l’emploi et contribuer à mettre en relation les bonnes opportunités et les bons candidats, plus le candidat se sentira à l’aise avec le fait de nous donner des informations, plus notre service gagnera en performance.

Pour une startup, investir sur des ressources compétentes en externe est essentiel

Dès Juin 2017 nous avons pris le sujet à bras le corps pour être réellement opérationnel au moment venu et avons décidé de nous faire accompagner par des professionnels externes afin de pouvoir proposer à nos clients un service conforme aux lois françaises et européennes. Nous collaborons avec une structure juridique reconnue, spécialisée dans tous les enjeux liés à la protection et l’utilisation conforme des données off line et on line, et les technologies de l’information et la communication.

De la même façon nous avons choisi de nommer un DPO externe, hautement qualifié, entre autre, sur les sujets de la protection des données et du suivi des registres. La désignation de notre DPO en interne est quant à elle prévue début Mai. Surtout, il faut apprendre à tout le monde à penser RGPD. Il nous est apparu essentiel de sensibiliser tous les collaborateurs de l’entreprise, afin que toute l’équipe joue le jeu et que notre partenaire externe puisse effectuer son travail efficacement, notamment l’audit de mise en conformité. De part la nature de notre activité cela était vraiment nécessaire et permet également de renforcer la cohésion d’équipe en impliquant tous les salariés sur les enjeux importants de l’entreprise.

Toute la procédure qui va de la formation des équipes jusqu’à la mission de DPO en passant par la mise en conformité, est externalisée aujourd’hui. Evidemment l’investissement n’est pas négligeable, mais c’est un passage obligatoire pour toute entreprise pour qu’elle puisse continuer à se développer dans le respect des lois.

Adopter une attitude responsable pour le bien de tous

D’un point de vue global, nous pensons que c’est une réglementation qui est nécessaire. Les nouvelles technologies du numériques permettent une exploitation puissante et parfois sans limite des données des utilisateurs de tous les services que nous utilisons dans notre quotidien. Nous sommes tous concernés. Nos données sont utilisées par des centaines d’organisations : Uber, Amazon, Banque en ligne, Assurance… et nous ne sommes pas à l’abri de fuites de nos informations personnelles pouvant gravement impacter notre vie personnelle. Partant ce de constat, il est tout à fait normal que les entreprises adoptent une attitude responsable pour le bien de tout un chacun. La mise en conformité sera un gage de confiance pour les utilisateurs qui pourront confier leurs informations personnelles de manière plus sereine.

En revanche, il convient de souligner que la nouvelle règlementation peut être contraignante au niveau de la mise en place et coûteuse pour des startups en phase de lancement. Il serait, à mon sens, pertinent pour les startups, de créer des structures compétentes d’accompagnement gratuites ou en tout cas peu onéreuses pour leurs faciliter les démarches.