On termine le chapitre 5 de la Start-up Academy portant sur les aspects juridiques et règlementaires avec un chapitre sur les principaux contrats nécessaires pour encadrer l’activité de l’entreprise. Retrouvez la Partie 1 sur la situation juridique des fondateurs et la partie 2 sur la démarche de création et la gouvernance.
LES PRINCIPAUX CONTRATS
La société en création peut très vite devoir encadrer ses activités débutantes, ce qui nécessite la rédaction de différents documents.
→ Conditions générales de vente adaptées au domaine d’activité de la société.
→ Conditions générales d’utilisation pour les sites web en tenant compte du RGPD (voir ci-dessous).
→ Accords-cadres avec de potentiels partenaires industriels ou commerciaux.
La copie de modèles disponibles sur Internet ou diffusés par des pairs est courante, mais peut s’avérer dangereuse. La validation par un expert juridique est obligatoire.
Le rôle de l’accompagnement :
→ Alerter et sensibiliser les porteurs sur l’importance de cadrer juridiquement tous leurs actes (mieux vaut prévenir que guérir).
→ Tenir une check-list de ces actes pour s’assurer que les choses soient faites.
→ Mettre en relation avec des experts qualifiés sur les domaines concernés.
Le RGPD (Règlement Général sur la Protection des Données)
Voté en 2016 par le Parlement européen, le RGPD est applicable depuis le 25 mai 2018, (consultable ici). Il vise à renforcer les droits des personnes concernant leurs données personnelles.
Définitions selon la loi
→ Donnée personnelle : Toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification (par exemple numéro de sécurité sociale) ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple nom et prénom, date de naissance, biométrie des données, empreintes digitales, ADN …). Cela implique que le RGPD est applicable seulement si la donnée est établie comme personnelle. Si les données sont confirmées « anonymes » la réglementation ne s’applique pas.
→ Traitement des données : Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
→ Fichier de données : Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
→ Responsable du Traitement : Personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement.
→ Sous-Traitant : Personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite les données à caractère personnel pour le compte du responsable du traitement.
→ Confidentialité par Design (Privacy by Design) : Chaque nouveau service ou processus qui utilise les données personnelles doit prendre la protection de ces données en considération. Une organisation doit être en mesure de démontrer qu’elle a une sécurité adéquate en place et que son respect est surveillé. Dans la pratique, cela signifie que le service informatique doit prendre en compte la vie privée pendant tout le cycle de vie du développement du système ou d’un processus.
→ Confidentialité par Défaut (Privacy by Default) : Les paramètres les plus stricts de confidentialité s’appliquent automatiquement une fois qu’un client achète un nouveau produit ou service. Aucune modification manuelle des paramètres de confidentialité n’est requise de la part de l’utilisateur. Les renseignements personnels doivent être conservés uniquement durant le temps nécessaire pour fournir le produit ou service.
Le registre des données à caractère personnel
Le registre des données à caractère personnel demande tout d’abord d’identifier et documenter le type de données possédé par l’entreprise. C’est un long processus à démarrer dès le commencement du projet. La démarche doit être partagée avec les clients qui devront être rassurés sur le type de données et leur lieu de stockage.
Les questions à se poser durant l’inventaire des données :
- → Où sont-elles gardées ? Externalisées ou internalisées, Cloud, copies papier, serveur, Saas, zone géographique…
- → Quel est le type des données ? Personnelles, publiques, nominatives, sensibles…
- → Comment sont-elles recueillies ? Auto-déclarées par le consommateur, comportementales, ouvertes…
- → Pour quoi ont-elles été recueillies ? Pour fournir des services et des offres adaptées, à des fins statistiques, pour faire de la publicité…
- → Comment vont-elles être utilisées ? Commercialisation, commercial, à des fins administratives…
- → Combien de temps seront-elles gardées ?
- → Qui peut y accéder ? Tout le monde, le responsable du traitement ou le sous-traitant, personne.
Le cas des sous-traitants :
Une fois que le RGPD sera mis en œuvre, la responsabilité sera partagée entre les différentes parties. Tout sous-traitant devra suivre correctement l’évaluation du RGPD (effacement, accessibilité, stockage…) ou l’entreprise se trouvera dans une situation de « violation de données à caractère personnel ».
Le principe de licéité du traitement :
L’article 6 du RGPD énonce les cas précis dans lesquels un traitement de données à caractère personnel est considéré comme licite.
→ La personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques.
→ Le traitement est nécessaire à l’exécution soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci.
→ Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumise.
→ Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
→ Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
→ Le traitement est nécessaire aux fins légitimes poursuivies par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.
Toutes les semaines, retrouvez un épisode de Start-up Academy sur nos réseaux sociaux (Twitter, LinkedIn, Facebook).
Revenir au programme de diffusion ici.