Le RGPD et les start-ups

13 février 2019Protection des données

Non seulement l’été record de l’année dernière nous a fait transpirer, mais de nombreuses entreprises ne sont toujours pas prêtes à répondre aux exigences du RGPD plusieurs mois après la date limite du 25 mai 2018. 

Bei fehlerhafter oder unterlassener Umsetzung der Vorgaben drohen aber hohe Bußgelder, welche gerade Start-Ups den Start ins Unternehmertum ganz schön versalzen können. In Fachkreisen schon als Erfolgsmodell gepriesen, ist die Stimmung in Unternehmen in Bezug auf die DS-GVO immer noch verhalten. Nur schleppend wird man dort „Herr der Lage“. Oder vielmehr „Herr der Daten“?

1. Contexte

99 articles et 173 considérants servent à protéger les personnes concernées. Le RGPD est donc plus complet que la directive 95/46/CE sur laquelle il se fonde. En outre, des recommandations d’action sont formulées par les autorités de protection des données et le groupe de travail « Article 29 sur la protection des données ». Au total, cela représente un effort organisationnel et financier considérable.

Dabei dient die DS-GVO dem Schutz der Grundrechte. Die Rede ist vom „Recht auf informationelle Selbstbestimmungen“ der betroffenen Personen.

Le Droit à l'autodétermination informationnelle wird als das „Datenschutz-Grundrecht“ gehandelt. In der Verfassung ist es nicht explizit genannt, weist aber einen weiten Schutzbereich auf und erfasst unter anderem auch den Datenschutz. Entwickelt wurde dieses „neue Grundrecht“ aus dem allgemeinen Persönlichkeitsrecht und geht zurück auf das sog. Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65, 1).

2. Des avertissements oui, une vague d'avertissements non

Bien que de nombreuses entreprises étaient encore en pleine période de stress lié à la mise en œuvre le 25 mai 2018, en train de télécharger des documents et de mettre à jour leurs déclarations de confidentialité, beaucoup jetaient déjà un coup d'œil furtif vers leurs boîtes de réception de fax et de courrier électronique. On craignait un nouveau général Vague d'avertissements.

Sans fondement, en fin de compte. Il y a eu en effet des avertissements en raison de déclarations de protection des données manquantes ou inadéquates, des avertissements accompagnés (!) de demandes de dommages et intérêts et diverses demandes d'information et de suppression. Mais la grande vague, comme en 2014, est encore loin.

Malheureusement, cela ne signifie pas que la protection des données doit être prise à la légère. Le cas d’une entreprise qui n’avait absolument rien accompli après le 25 mai 2018 en est la preuve. Il n’a pas fallu longtemps avant que la première lettre de l’autorité de contrôle n’arrive sous la forme d’une « demande d’informations conformément à l’art. 58 (1) (a) RGPD ». C'est dommage qu'en tant qu'entrepreneur, vous deviez désormais réagir, vous adapter et vous améliorer dans un court laps de temps. Cela non seulement mobilise des ressources, mais est également totalement évitable.

3. Renforcer les options d'application

L’élément central du RGPD est certainement le renforcement des mesures d’application par les autorités de protection des données et les tribunaux. Violations de la protection des données qui Des amendes pouvant atteindre 41 % du chiffre d'affaires mondial Les résultats de l’exercice précédent ont atteint leur objectif pour de nombreuses entreprises. Personne ne peut se permettre d’ignorer les dispositions légales pertinentes et les risques associés. Les dommages à la réputation qui peuvent être associés à de longues enquêtes et à des poursuites judiciaires sont compensés par le respect de la protection des données, ce qui conduit certainement à la confiance et à la crédibilité auprès des clients.
 
Ici aussi, il a été démontré que la prévention est nettement préférable à la réparation ultérieure des dommages !
 
Une approche pratique consiste à sensibiliser et à mettre en œuvre des cadres juridiques spécifiquement adaptés à votre entreprise.

4. Que faut-il prendre en compte ?

Les start-ups doivent également se conformer aux exigences de documentation prévues à l'art. 30 (5) RGPD. On pourrait penser à première vue que les start-ups sont exemptées de l’obligation de documentation car elles comptent rarement plus de 250 salariés. Loin de là, car si les données sont traitées régulièrement, elles doivent être documentées. En fin de compte, le respect de la protection des données convaincra également les investisseurs.
Cela s’applique également, sous une forme modifiée, aux start-ups du secteur du traitement des contrats.
 
En fin de compte, les start-ups feraient bien de développer un plan d’urgence. Cela devrait inclure la procédure à suivre en cas de violation de données et une évaluation des conséquences.

Je vous offre

  • Vérification du site Web, y compris les recommandations d'action
  • Politique de confidentialité optimisée
  • Contrat de traitement des commandes
  • Registre de traitement pour les responsables du traitement
  • Vérification des mesures techniques et organisationnelles
  • Concept de protection des données
  • Formation à la protection des données

Veuillez me contacter pour une offre individuelle.

Partagez cette publication

À propos de l'auteur

Anne-Kathrin Renz

Anne-Kathrin Renz

Anne-Kathrin Renz est avocate, déléguée à la protection des données et conférencière. Elle a complété la partie théorique de sa formation d'avocate spécialisée en droit de la propriété intellectuelle et en droit des technologies de l'information. Dans son blog, elle rend compte de sujets d’actualité du monde numérique du droit.

Demandez un conseil juridique maintenant !

    Les champs obligatoires sont marqués d'un *.

    fr_FRFrench
    de_DEGerman en_USEnglish fr_FRFrench