Le RGPD et les start-ups

13 février 2019Protection des données

Non seulement l’été record de l’année dernière nous a fait transpirer, mais de nombreuses entreprises ne sont toujours pas prêtes à répondre aux exigences du RGPD plusieurs mois après la date limite du 25 mai 2018. 

Toutefois, si les exigences ne sont pas mises en œuvre correctement ou pas du tout, il existe un risque d'amendes élevées, ce qui peut sérieusement gâcher le démarrage de l'entrepreneuriat, en particulier pour les start-ups. Bien que déjà salué comme un modèle de réussite dans les cercles d'experts, l'humeur des entreprises à l'égard du RGPD reste prudente. Ce n’est que lentement qu’on devient « maître de la situation » là-bas. Ou plutôt « Seigneur des données » ?

1. Contexte

99 articles et 173 considérants servent à protéger les personnes concernées. Le RGPD est donc plus complet que la directive 95/46/CE sur laquelle il se fonde. En outre, des recommandations d’action sont formulées par les autorités de protection des données et le groupe de travail « Article 29 sur la protection des données ». Au total, cela représente un effort organisationnel et financier considérable.

Le RGPD sert à protéger les droits fondamentaux. Il s’agit du « droit à l’autodétermination informationnelle » des personnes concernées.

Le Droit à l'autodétermination informationnelle est considéré comme le « droit fondamental à la protection des données ». Elle n’est pas explicitement mentionnée dans la Constitution, mais son champ de protection est large et comprend, entre autres, la protection des données. Ce « nouveau droit fondamental » a été développé à partir du droit général de la personnalité et remonte à l’arrêt de recensement de la Cour constitutionnelle fédérale (BVerfG, arrêt du premier Sénat du 15 décembre 1983, 1 BvR 209/83 et al. – recensement –, BVerfGE 65, 1).

2. Des avertissements oui, une vague d'avertissements non

Bien que de nombreuses entreprises étaient encore en pleine période de stress lié à la mise en œuvre le 25 mai 2018, en train de télécharger des documents et de mettre à jour leurs déclarations de confidentialité, beaucoup jetaient déjà un coup d'œil furtif vers leurs boîtes de réception de fax et de courrier électronique. On craignait un nouveau général Vague d'avertissements.

Sans fondement, en fin de compte. Il y a eu en effet des avertissements en raison de déclarations de protection des données manquantes ou inadéquates, des avertissements accompagnés (!) de demandes de dommages et intérêts et diverses demandes d'information et de suppression. Mais la grande vague, comme en 2014, est encore loin.

Malheureusement, cela ne signifie pas que la protection des données doit être prise à la légère. Le cas d’une entreprise qui n’avait absolument rien accompli après le 25 mai 2018 en est la preuve. Il n’a pas fallu longtemps avant que la première lettre de l’autorité de contrôle n’arrive sous la forme d’une « demande d’informations conformément à l’art. 58 (1) (a) RGPD ». C'est dommage qu'en tant qu'entrepreneur, vous deviez désormais réagir, vous adapter et vous améliorer dans un court laps de temps. Cela non seulement mobilise des ressources, mais est également totalement évitable.

3. Renforcer les options d'application

L’élément central du RGPD est certainement le renforcement des mesures d’application par les autorités de protection des données et les tribunaux. Violations de la protection des données qui Des amendes pouvant atteindre 41 % du chiffre d'affaires mondial Les résultats de l’exercice précédent ont atteint leur objectif pour de nombreuses entreprises. Personne ne peut se permettre d’ignorer les dispositions légales pertinentes et les risques associés. Les dommages à la réputation qui peuvent être associés à de longues enquêtes et à des poursuites judiciaires sont compensés par le respect de la protection des données, ce qui conduit certainement à la confiance et à la crédibilité auprès des clients.
 
Ici aussi, il a été démontré que la prévention est nettement préférable à la réparation ultérieure des dommages !
 
Une approche pratique consiste à sensibiliser et à mettre en œuvre des cadres juridiques spécifiquement adaptés à votre entreprise.

4. Que faut-il prendre en compte ?

Les start-ups doivent également se conformer aux exigences de documentation prévues à l'art. 30 (5) RGPD. On pourrait penser à première vue que les start-ups sont exemptées de l’obligation de documentation car elles comptent rarement plus de 250 salariés. Loin de là, car si les données sont traitées régulièrement, elles doivent être documentées. En fin de compte, le respect de la protection des données convaincra également les investisseurs.
Cela s’applique également, sous une forme modifiée, aux start-ups du secteur du traitement des contrats.
 
En fin de compte, les start-ups feraient bien de développer un plan d’urgence. Cela devrait inclure la procédure à suivre en cas de violation de données et une évaluation des conséquences.

Je vous offre

  • Vérification du site Web, y compris les recommandations d'action
  • Politique de confidentialité optimisée
  • Contrat de traitement des commandes
  • Registre de traitement pour les responsables du traitement
  • Vérification des mesures techniques et organisationnelles
  • Concept de protection des données
  • Formation à la protection des données

Veuillez me contacter pour une offre individuelle.

Partagez cette publication

À propos de l'auteur

Anne-Kathrin Renz

Anne-Kathrin Renz

Anne-Kathrin Renz est avocate, déléguée à la protection des données et conférencière. Elle a complété la partie théorique de sa formation d'avocate spécialisée en droit de la propriété intellectuelle et en droit des technologies de l'information. Dans son blog, elle rend compte de sujets d’actualité du monde numérique du droit.

Demandez un conseil juridique maintenant !

    Les champs obligatoires sont marqués d'un *.

    fr_FRFrench
    de_DEGerman en_USEnglish fr_FRFrench