Skip to content
Osiris Moukoko Priso edited this page Nov 25, 2021 · 3 revisions

Le document suivant est mis à dispositions afin d’orienter et guider dans les problématiques qui pourraient être rencontrées lors du développement de votre produit. En cas de doute n’hésitez pas à contacter un juriste !

Données personnelles

Quelles sont les étapes classiques RGPD et sécurité dans le cycle de vie d’une startup ?

Pour les grandes étapes et les questions associées à la conformité, vous pouvez vous référer au guide RGPD et sécurité des startups d'État.

Règle générale : quand vous prenez des décisions, documentez-les et expliciter votre argumentaire. Dans le domaine technique on parle de “Architecture Decision Records”. Les aspects juridiques et sécuritaires font partie de votre architecture.

“Documentation” ne veut pas dire “roman fleuve”. Un pad, un titre, un ou deux paragraphes peuvent suffire. Privilégiez la découvrabilité de vos relevés de décision : regroupez-les dans un document servant de table des matières par exemple.

Qui est le responsable de traitement de mon produit ?

Juridiquement la réponse est “la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement”:

D’un point de vue plus pragmatique, c’est souvent la personne à la tête de l’administration qui est votre sponsor. La solution se trouve systématiquement dans la chaîne hiérarchique.


Par défaut dans le cas des start-ups, il s’agira du directeur d’une des directions du ministère des solidarités et de la santé. Les plus fréquentes :

  • DGOS (Direction générale de l’Offre de soin) ;
  • DGS (Direction générale de la Santé) ;
  • DGCS (Direction générale de la Cohésion sociale) ;
  • DGEFP (Délégation générale à l'emploi et à la formation professionnelle) ;

Information et consentement des usagers

Dois-je demander l’accord des personnes concernées par mon produit avant de pouvoir traiter leurs données personnelles ?

Dans le cadre des missions de service public, il n’est pas souhaitable de demander le consentement des personnes, celle-ci Il n’est pas recommandé pour les personnes publiques remplissant leurs missions de service public.

La mission de service public peut se dégager de dispositions générales telles que “le service public de l’emploi a pour mission l’accueil, l’orientation, la formation, l’insertion”.

Le seul moment où vous pouvez être confronté au “consentement”, c’est lorsque vous allez déposer des cookies pour l’amélioration continue du produit (type Hotjar), pour un service tiers (Chatbot) ou pour la mesure d’audience (sauf si vous avez recours à l’instance Matomo).

Comment doit-on informer les usagers des droits garantis par les plateformes, sites et applications développés ?

Le RGPD garantit un ensemble de droits aux personnes dont les données sont traitées. Certains droits doivent systématiquement être garantis lorsque des données sont traitées, d’autres ne le sont que sous condition, et les derniers le seront à l’appréciation du responsable de traitements et de l’équipe. Chaque plateforme (site ou application) doit s’assurer que les personnes pourront faire valoir ces droits. Le premier des droits consiste à leur expliquer de manière claire et transparente ce que vous faites des données.

  • Informer au moment clé du parcours utilisateur (par ex : création de compte)
  • Informer dans les CGU (règles d’utilisation du produit) et politique de confidentialité (quelles données je traite et pourquoi)

Quelles obligations spécifiques lorsque mon produit est un téléservice ?

Un téléservice est un système d’information qui permet aux usagers de procéder par voie électronique à des démarches ou formalités administratives. Deux obligations principales :

  • Celle d’accuser réception à la demande et à répondre à des règles de forme ;
  • Celle de mentionner l’identité de l’auteur de l’accusé-réception et du service auquel il appartient

L’Article L112-9 du code des relations entre le public et l’administration précise notamment que « Tout usager, dès lors qu'il s'est identifié auprès d'une autorité administrative, peut adresser par voie électronique à celle-ci une demande, une déclaration, un document ou une information, ou lui répondre par la même voie. Cette autorité administrative est régulièrement saisie et traite la demande, la déclaration, le document ou l'information sans demander à l'usager la confirmation ou la répétition de son envoi sous une autre forme. », le tout dans le respect de la loi du 6 janvier 1978 et des règles de sécurité et d'interopérabilité prévues par l’ordonnance.