Les start-ups dans le viseur de la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) a récemment épinglé plusieurs start-ups pour des manquements à leurs obligations en matière de protection des données personnelles, démontrant ainsi son intérêt pour ces structures innovantes, souvent de petites tailles mais à fort potentiel économique.

Faisant suite à des contrôles, la CNIL a adopté au moins quatre décisions mettant en demeure des start-ups, entre le 25 juin et le 30 octobre 20181. Les manquements relevés concernaient principalement l'absence de collecte du consentement des utilisateurs pour le traitement de leurs données de géolocalisation à des fins de ciblage publicitaire.

Ces sociétés ayant finalement démontré s'être mises en conformité, la CNIL a clôturé les différentes mises en demeure2. Néanmoins, les contrôles effectués par la CNIL dans ces structures et les décisions de mise en demeure qui en ont découlé rappellent la nécessité pour les start-ups de se conformer à la règlementation applicable en matière de protection de données personnelles et ce dès les phases de conception des nouveaux projets (ex. logiciels, applications mobiles, objets connectés, intelligences artificielles, etc.). En effet, outre le risque de condamnation à des sanctions financières désormais importantes (pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire annuel mondial de la société), ces sociétés encourent également un risque d'image entrainant une perte de confiance de la part de leurs clients ou utilisateurs.

Pour rappel, le Règlement Général sur la Protection des Données (« RGPD »)3 est entré en vigueur le 25 mai 2018 avec pour objectif d'harmoniser et de renforcer l'encadrement des traitements de données personnelles sur le territoire de l'Union européenne. En France, la loi dite « Informatique et Libertés » n°78-17 du 6 janvier 1978 a été modifiée4 pour prendre en compte le RGPD et, notamment, adopter des dispositions spécifiques là où le RGPD offre une marge de manœuvre aux Etats Membres (ex. traitement de données de santé, traitement du numéro de sécurité sociale).

Les start-ups, soumises au RGPD

Le RGPD s'applique à toute organisation publique ou privée qui traite des données personnelles, qu'elle soit établie sur le territoire de l'Union européenne ou que son activité cible directement des personnes localisées au sein de l'Union Européenne.

La forme juridique, la taille, l'objectif voire la localisation du siège social de l'entreprise importent peu pour autant qu'elle propose ses produits et services à une clientèle européenne ou qu'elle dispose d'un bureau au sein de l'Union Européenne.

Afin de se mettre en conformité, les start-ups doivent impérativement commencer par réaliser un inventaire des traitements de données qu'elles mettent en œuvre ce qui leur permettra de se doter d'un registre de leurs activités de traitement. Sur cette base, elles pourront vérifier si les traitements mis en œuvre sont conformes aux règles applicables (licéité du traitement, minimisation et exactitude des données, conservation pour une durée limitée, sécurité et confidentialité des données, etc.), si les personnes concernées sont informées de façon adéquates, etc.

Afin d'assurer leur conformité dans le temps et de la documenter (« accountability »), il est par ailleurs particulièrement recommandé aux start-ups de se doter de procédures formalisées (ex. guide de conformité des traitements, procédure de gestion des droits, procédures de notification des violations de données personnelles, etc.) et de mettre en place une gouvernance en commençant par désigner un délégué à la protection des données (« DPD ou DPO »)5.

Le RGPD, vecteur de confiance

Les consommateurs sont de plus en plus sensibilisés aux risques liés aux traitements de leurs données personnelles. Par conséquent, dans un contexte de course à l'innovation où les données sont au cœur des modèles économiques, la protection des données personnelles et la conformité RGPD constituent non pas un obstacle à l'innovation mais un vecteur de confiance et par là-même un argument compétitif.

Une innovation éthique et raisonnée qui tient compte dès la conception d'un projet – dans le respect notamment du principe de data protection by design6 – des problématiques de protection des données personnelles favorise ainsi la faisabilité et la pérennité des projets. Trop d'investissements dans des projets nécessitant des traitements de données de personnelles, parfois massifs, n'ont pas abouti car non conformes (collecte déloyale, détournement de finalité, manque de discernement dans la sélection des données pertinentes, manque de transparence vis-à-vis des personnes concernées, insuffisance des mesures de sécurité, etc.).

[1] Décision n° MED 2018-023 du 25 juin 2018 mettant en demeure la société FIDZUP ; Décision n° MED 2018-022 du 25 juin 2018 mettant en demeure la société TEEMO ; Décision n° MED 2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT ; Décision n° MED 2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY

[2] Clôture de la décision n°MED-2018-023 du 25 juin 2018 mettant en demeure la société FIDZUP ; Clôture de la décision n°MED-2018-043 du 8 octobre 2018 mettant en demeure la société SINGLESPOT ; Clôture de la décision n° MED-2018-042 du 30 octobre 2018 mettant en demeure la société VECTAURY ; Clôture de la décision n°MED-2018-022 du 25 juin 2018 mettant en demeure la société TEEMO

[3] Règlement (UE) 2016/679 du 27 avril 2016

[4] Loi n°2018-493 du 20 juin 2018 et ordonnance n°2018-1125 du 12 décembre 2018

[5] Personne désignée au sein d'une entreprise, conformément aux articles 37 à 39 RGPD, afin de prendre en charge la gestion de la protection des données personnelles et, en particulier : (i) informer et conseiller l'entreprise et ses employés qui prennent part au traitement de données personnelles, sur les obligations qui leur incombent pour se conformer à la législation applicable en la matière, (ii) contrôler le respect de cette règlementation et des règles internes imposées au sein de l'entreprise (y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel et les audits s'y rapportant), (iii) dispenser des conseils, en ce qui concerne les analyses d'impact relatives à la protection des données (AIPD) et vérifier leur exécution, (iv) coopérer avec la CNIL et (v) faire office de point de contact pour la CNIL. La désignation d'un DPO est obligatoire pour certaines entreprises, notamment lorsque leurs activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ou un traitement à grande échelle de catégories particulières de données. Dans tous les autres cas, elle est facultative. Le DPO est désigné sur la base de ses qualités professionnelles. Ses coordonnées doivent être publiées et communiquées à la CNIL.

[6] Conformément au principe de protection des données dès la conception ou data protection by design énoncé à l'article 25 RGPD, les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles appropriées, dès le moment de la détermination des moyens du traitement et tout au long de la réalisation du traitement en lui-même. Les mesures techniques et organisationnelles appropriées doivent être déterminées compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes concernées.