Les données à caractère personnel et les Start Up, les enjeux d’un modèle disruptif.

Jean-Marie Dru, un des précurseurs du concept de la disruption, fait remarquer que selon Clayton Chirstensen, seuls les nouveaux entrants s’attaquant au marché par le bas et usant des nouvelles technologies pour faire baisser les prix – définition visant finalement exclusivement les start up - peuvent être qualifiés de disruptifs.

D’après cette définition du concept, le modèle disruptif est donc celui qui possède la capacité à court-circuiter le modèle économique en vigueur, sacrifier l’ensemble de la supply chain, pour le remplacer par un autre, plus efficace.

D’un point de vue économique, le charme de la « disruptivité » vient de l’échec du modèle précédent par rapport au potentiel de satisfaction qu’annonce le modèle disruptif.

Il est constaté que ce changement de modèle est très compris par les jeunes entrepreneurs qui se lancent, grâce à leur capacité d’innovation, dans l’élaboration de nouveaux services, de nouveaux modèles, qui s’attachent à répondre massivement à une demande personnalisée.

Pour ce faire, il existe un outil particulièrement imposant : les données. Et, plus précisément les données à caractère personnel, encadrées en France par la loi n°78-17 du 6 janvier 1978.

Juridiquement, un modèle disruptif pourrait s’analyser comme un changement de paradigme, de fondements, conservant toutefois la même finalité, la protection des sujets de droit.

Ramenée aux données personnelles, cette perspective est mise en lumière par le règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 mettant un terme à 21 ans de régulation européenne via la directive du 24 octobre 1995. Ce règlement vient alors transcender le modèle actuel déclaratif pour déboucher, à sa mise en vigueur en 2018, sur un modèle de self compliance.

L’enjeu, pour les start up, est de parvenir à gérer leur propre paradoxe, à savoir (i) s’intégrer au sein d’un système de régulation qui n’est pas pensé pour leur modèle de développement (ii) anticiper suffisamment la nouvelle régulation pour ne se pas se retrouver, à leur tour, disruptée.

I) L’intégration du modèle start-up au sein de la législation relative aux données personnelles.

Notre analyse se concentre ainsi sur les jeunes entreprises développant des produits et/ou des services innovants, dont la livraison au client final s’affranchit, au moins dans un premier temps, de tout local physique de rencontre – le magasin.

Le modèle économique s’analyse alors comme une génération de flux de données, liée à la prestation de service et/ou la livraison du produit, permettant de disposer rapidement d’un avantage concurrentiel.

L’avantage recherché peut être une meilleure connaissance des clients, de leurs habitudes, de leurs envies pour anticiper leurs besoins.

Un tel flux de données, contenant des données personnelles, doit être sécurisé. En effet, chaque entreprise collectant des données à caractère personnel doit mettre en œuvre une protection suffisamment efficace afin d’éviter toute fuite ou piraterie impromptue (article 34 de la loi Informatique et libertés ; article 226-17 du Code pénal).

Par ailleurs, nous rappelons que la circulation de ces données s’accompagne d’une information et d’un droit de rectification aux personnes concernées (articles 32 et 40 de la loi Informatique et libertés).

Enfin, le serveur accueillant ces données est lui aussi soumis à un environnement physique et technique strict. En ce sens, le responsable de traitement a l’obligation de lui faire appliquer la régulation européenne afin de garantir aux personnes un standard minimum de sécurité (article 34 de la Loi informatique).

Ces mises en conformités représentent alors un coût pour une start up, dont les premiers revenus sont davantage réinvestis dans le produit et les modalités de commercialisation, que dans la conformité à la norme.

Toutefois, il est nécessaire de considérer la compliance aujourd’hui comme un investissement pour l’avenir, dans la mesure où la responsabilité du collecteur va s’accroitre, et avec elle les sanctions du manquement.

II) Les données personnelles comme vecteur de développement.

En partant du constat que les régulateurs nationaux se retrouvaient relativement impuissants face à la multiplication des exploitants de données et à l’avènement du big data dans une société qui promeut la transformation digitale et la République numérique, la Commission et le Parlement ont pris une décision forte en modifiant profondément le système de protection des données à caractère personnel.

Demain, les entreprises procédant à une collecte massive de données seront contraintes de procéder à des études d’impact, en amont, et à la désignation d’un Délégué aux données personnelles, dont la fonction sera d’élaborer et de suivre l’application de ces études (article 35 et 37 du Règlement européen).

Par ailleurs, cette nouvelle réglementation insiste sur la notification aux personnes dont les données auraient fait l’objet d’une fuite ou d’une attaque de tiers (article 34 du Règlement européen).

Il en résulte que les entreprises et plus particulièrement les start up, dont la sécurité est potentiellement plus fragile, seront exposées à des contraintes réglementaires assorties de lourdes sanctions, cumulables, en cas de manquement (article 83 du Règlement européen).

A cette fin, les pouvoirs des autorités de régulation nationales seront renforcés, tant en terme d’investigation qu’en terme de sanction administrative (article 84 du Règlement européen).

Cette évolution réglementaire va nécessairement demander davantage d’investissements de la part des entreprises. In fine, l’effort consenti par les start up n’ayant pas anticipé ce règlement sera immense, tant les exigences sont fortes.

Afin d’éviter l’asphyxie juridique, l’intérêt des jeunes entreprises, et plus spécifiquement des start up innovantes, est de s’appuyer sur la réglementation actuelle afin d’anticiper les écueils d’une nouvelle réglementation dont le ton est nettement durci.

Ainsi, contrairement aux entreprises dont la pénétration du marché est solidifiée, les start up courent un risque, non seulement de réputation, mais également un risque de ne pas être en mesure de répondre aux standards juridiques, ce qui peut provoquer, in fine, la remise en cause de leur modèle de développement.

L’enjeu des jeunes entreprises collectant des données personnelles et les exploitant par la suite, sera d’identifier au plus tôt dans leur développement, les écueils juridiques auxquels elles sont confrontées, afin de s’en servir comme un levier de croissance et non pas comme un frein au développement.

Alice Hervagault, juriste et
Romain Waiss Moreau, avocat associé.
Cabinet LLC et Associés

« Article initialement publié dans le JMJ n°53 »