RGPD et startup : guide pratique du fondateur au DPO

Dans les audits que je conduis en phase de Series A ou B, je retrouve presque toujours le même schéma : la startup a construit son produit et son traction, lève plusieurs millions, puis découvre lors de la due diligence juridique qu’elle n’a pas de registre des traitements, pas de DPA signés avec ses sous-traitants critiques, et un bandeau cookies qui ne respecte pas les recommandations de la CNIL. Le coût de la mise en conformité tardive dépasse presque toujours celui qu’une approche privacy by design aurait imposé dès la première année. Voici comment structurer votre conformité RGPD de la pré-seed au scale-up.

Pourquoi le RGPD s’applique dès le premier utilisateur

Une idée reçue tenace veut que le RGPD soit une préoccupation de “grande entreprise”. C’est faux. Le RGPD s’applique dès le premier traitement de données personnelles d’un résident de l’Union européenne, sans seuil de chiffre d’affaires ni d’effectif. Votre formulaire de liste d’attente pré-lancement, votre bêta privée avec 30 utilisateurs, votre CRM avec les 500 leads issus d’un événement Station F : tous sont des traitements au sens de l’Art. 4(2) du RGPD.

Deux conséquences pratiques pour un fondateur :

D’abord, le registre des traitements (Art. 30) n’est obligatoire qu’au-delà de 250 salariés sauf si le traitement n’est pas occasionnel, s’il comporte des catégories particulières (santé, opinions politiques…) ou s’il est susceptible de présenter un risque pour les droits des personnes. Autrement dit, pour la quasi-totalité des startups, le registre est obligatoire. C’est le premier document à créer, et le plus facile : un simple tableau recensant ce que vous traitez, pourquoi, sur quelle base légale, combien de temps et avec quels outils.

Ensuite, la notification de violation à la CNIL sous 72 heures (Art. 33) s’applique aussi aux startups. Si votre base d’utilisateurs fuit — fuite Firebase mal configurée, clé API exposée sur GitHub, attaque par phishing sur un employé —, vous devez notifier la CNIL dans les trois jours. Sans procédure préétablie, c’est impossible.

Les cinq pièges RGPD classiques de la startup

Dans mon expérience, les mêmes erreurs reviennent d’une startup à l’autre, indépendamment du secteur.

Collecter parce qu’on pourra en avoir besoin un jour. Le principe de minimisation (Art. 5(1)©) interdit de collecter des données “au cas où”. Chaque champ de formulaire doit répondre à une finalité précise et documentée. La date de naissance du prospect n’a rien à faire dans votre formulaire de démo si vous ne l’utilisez pas pour un service réellement âge-dépendant.

Utiliser Google Analytics sans configuration RGPD. Depuis la mise en demeure publique de la CNIL du 10 février 2022, l’usage de GA dans sa configuration par défaut a été jugé illégal en France. Même après les évolutions d’analytics 4, la configuration doit être active : anonymisation IP, exclusion du transfert de données brutes, mode “consent mode v2”, exécution uniquement après consentement. La plupart des startups installent GA via Google Tag Manager sans bloquer avant consentement. C’est un manquement documenté.

Oublier la sous-traitance. Chaque SaaS que vous utilisez — HubSpot, Notion, Airtable, Intercom, Linear, Slack, Hotjar — est un sous-traitant RGPD. Chacun exige un contrat conforme à l’Art. 28 du RGPD, que l’éditeur fournit habituellement sous forme de “DPA” à signer électroniquement. En pratique, très peu de startups font la démarche systématique. Au premier audit, il manque toujours entre 40 et 80 % des DPA.

Confondre utilisateur, prospect et client. Ces populations ont des bases légales différentes : exécution contractuelle (Art. 6(1)(b)) pour les utilisateurs de la plateforme, intérêt légitime (Art. 6(1)(f)) pour la prospection B2B, consentement (Art. 6(1)(a)) pour la newsletter et les cookies de ciblage. Une même base Airtable qui mélange les trois provoque des manquements en cascade : durées de conservation incohérentes, mentions d’information incomplètes, droits des personnes impossibles à instruire.

Ne pas penser à la sortie. Lors d’une cession, d’un asset deal ou d’une levée importante, l’acquéreur conduit une due diligence RGPD. Les trous de conformité se négocient en décote de valorisation, en holdback sur le prix de cession, ou en clauses indemnitaires. J’ai vu des lignes de 300 000 à 800 000 € bloquées en séquestre pour cause d’insuffisance RGPD chez la cible. Le fondateur qui a négligé la conformité paie au moment de la sortie, pas au moment de l’opération.

Les priorités RGPD par stade de maturité

Toutes les mises en conformité ne se valent pas à tous les stades. Voici ce que je recommande de traiter en priorité à chaque phase.

Pré-seed / MVP (0-10 utilisateurs)

L’objectif est minimal : ne pas créer de dette juridique.

Trois actions suffisent : rédiger une politique de confidentialité sincère (pas un copier-coller), installer un bandeau cookies conforme si votre site utilise des cookies tiers (ou vous passer de cookies tiers pendant la phase MVP), et créer un registre très simple recensant vos deux ou trois traitements principaux (utilisateurs, prospects, formulaire de contact).

Les erreurs à éviter : publier une mention légale copiée d’un template anglo-saxon, demander l’email d’un prospect sans lui dire pourquoi, ou stocker des CV de candidats dans Gmail sans limite de conservation.

Seed (10-500 utilisateurs, première équipe)

À ce stade, vous commencez à devenir une cible sérieuse : les enjeux passent du “tolérable” au “documentable”.

Priorités : formaliser l’organisation interne (qui gère la conformité côté produit, côté sales, côté RH), faire signer les DPA de tous les SaaS critiques (CRM, hébergeur, analytics, emailing, chat support), mettre en place une politique de durées de conservation, rédiger les mentions légales RGPD et une politique de confidentialité à jour, instaurer une procédure minimale de gestion des droits (accès, effacement).

Erreur fréquente : considérer que la “compliance est un sujet pour plus tard”. Plus tard coûte systématiquement plus cher.

Series A (scale produit, expansion, croissance équipe)

Le passage à Series A correspond au moment où vos investisseurs vont regarder sérieusement la conformité. Le Legal QoE (Quality of Earnings juridique) fait partie de la due diligence standard, et certaines thèses d’investissement imposent un audit RGPD formalisé.

Priorités : AIPD sur les traitements à risque (scoring algorithmique, surveillance comportementale, profilage à grande échelle), charte informatique applicable à l’équipe, formation RGPD des nouveaux arrivants (notamment sales, support et RH), encadrement des transferts hors UE (Art. 44 et suivants), désignation éventuelle d’un DPO.

Un point d’attention : les investisseurs US ou anglo-saxons peuvent exiger une conformité RGPD renforcée pour protéger leur propre exposition. Les clauses “GDPR compliance representation” dans les pactes et SHA sont devenues la norme.

Scale-up (>50 salariés, plusieurs pays)

À ce stade, la question n’est plus si vous êtes conforme, mais à quel niveau de maturité. La conformité devient un sujet de gouvernance et non plus un sujet légal.

Priorités : désigner formellement un DPO (interne ou externe), industrialiser la sous-traitance (modèles de DPA, bibliothèque de sous-traitants approuvés, cartographie des transferts), mettre en place une politique de gestion des incidents (avec simulation annuelle), structurer la conformité des filiales étrangères (représentant UE si établissement hors UE, BCR ou SCC pour les flux intra-groupe), et aborder les sujets transverses : AI Act, NIS2, DORA pour la fintech.

Le DPO dans une startup : obligatoire ou non ?

C’est la question qui revient systématiquement dans les comités de direction. La réponse juridique : le DPO est obligatoire dans trois cas prévus à l’Art. 37 du RGPD — autorité publique, suivi régulier et systématique à grande échelle de personnes concernées, ou traitement à grande échelle de catégories particulières ou de données relatives aux condamnations.

En pratique, pour une startup :

• Une plateforme edtech ou healthtech qui traite des données de santé ou d’enfants dès quelques milliers d’utilisateurs est probablement concernée.
• Une martech ou adtech qui fait du profilage publicitaire sur plusieurs millions d’événements par jour est concernée.
• Une fintech KYC qui traite des données d’identité et financières à grande échelle est concernée, indépendamment des obligations LCB-FT.
• Un SaaS B2B pur (productivité, collaboration, outillage) n’est généralement pas concerné ratione materiae avant plusieurs dizaines de milliers d’utilisateurs payants.

Au-delà de l’obligation, la désignation d’un DPO reste un signal fort auprès des investisseurs, clients grands comptes, et de la CNIL en cas de contrôle. Pour une startup sans DPO obligatoire, une mutualisation via un DPO externe mutualisé (2 à 5 jours par mois, selon maturité) coûte entre 800 et 2 500 € par mois. C’est rarement du gaspillage.

La due diligence RGPD en levée de fonds

Au-delà du seed, toute levée sérieuse comporte un volet RGPD dans la due diligence. Voici les documents et éléments que les avocats des investisseurs vont regarder, par ordre de criticité.

Ils vérifient d’abord l’existence et le contenu du registre des traitements, la conformité des mentions d’information (Art. 12, 13 et 14), la liste des sous-traitants et des DPA signés, l’existence d’une procédure de gestion des droits des personnes (accès, rectification, effacement, portabilité), la politique de conservation et de suppression des données, la gestion des transferts hors UE, et les éventuelles mises en demeure ou contrôles CNIL subis.

Ils regardent ensuite les traitements à risque : profilage et scoring, décisions automatisées, vidéosurveillance de salariés, prise de décision par l’IA. Si votre produit comporte l’un de ces éléments et qu’aucune AIPD n’a été conduite, c’est un red flag majeur.

Dans mon expérience, la présence d’un registre à jour, d’une liste de DPA complète et d’au moins une AIPD réalisée sur un traitement critique suffit à faire passer une startup du statut “alarming” au statut “acceptable” dans le rapport de due diligence. Les investisseurs ne cherchent pas la perfection, ils cherchent la trace d’une démarche structurée. C’est exactement ce type de documentation que Legiscope automatise pour les équipes opérationnelles.

Le sujet des transferts hors UE : incontournable pour toute startup tech

Si vous utilisez AWS, Google Cloud, Azure, Stripe, HubSpot, Mailchimp, OpenAI, Anthropic, Twilio, Vercel, Firebase, ou la quasi-totalité des outils SaaS modernes, vous effectuez des transferts de données hors UE au sens de l’Art. 44. Ces transferts doivent reposer sur un mécanisme valide : décision d’adéquation (rare), clauses contractuelles types (SCC) de la Commission européenne, règles d’entreprise contraignantes (BCR, réservées aux groupes matures).

Le Data Privacy Framework UE-US adopté en juillet 2023 a permis de fluidifier les flux vers les États-Unis, mais uniquement pour les entreprises certifiées DPF — ce qui n’est pas le cas de tous vos sous-traitants. Il faut donc vérifier, outil par outil, le mécanisme de transfert applicable.

À cela s’ajoute l’obligation de Transfer Impact Assessment (TIA) imposée par l’arrêt Schrems II (CJUE, C-311/18) : évaluer, pour chaque transfert hors UE, si la législation du pays destinataire permet réellement un niveau de protection équivalent. Pour la plupart des startups, une TIA simplifiée par outil suffit : décrire le flux, vérifier la certification DPF ou les SCC, identifier les mesures supplémentaires (chiffrement, pseudonymisation, contrôle d’accès) et documenter la décision.

Privacy by design : construire la conformité dans le produit

L’Art. 25 du RGPD impose le principe de privacy by design : la protection des données doit être pensée dès la conception des traitements, et par défaut. Pour une startup, c’est un avantage, pas une contrainte : il est toujours plus simple de construire le bon modèle dès le départ que de refactorer une base de données mal conçue en Series B.

Trois points pratiques à trancher au démarrage de chaque fonctionnalité :

Quelles données sont réellement nécessaires ? Un signup complet avec 12 champs “optionnels” coche toutes les cases de la violation du principe de minimisation. Un signup à 2 champs avec un enrichissement progressif respecte l’Art. 5(1)©.

Combien de temps conservez-vous les données ? Les données d’un utilisateur actif peuvent être conservées tant que la relation dure. Les données d’un utilisateur inactif depuis 2 ans doivent être supprimées ou anonymisées. La durée de conservation doit être configurable par finalité dans votre modèle.

Comment exercer les droits ? Un utilisateur qui demande l’effacement doit pouvoir être supprimé intégralement dans un délai d’un mois (Art. 12(3)). Si votre architecture dénormalise les données utilisateur dans dix tables sans foreign key, l’effacement devient un cauchemar technique. Concevez la portabilité et l’effacement comme des fonctionnalités produit, pas comme une corvée de conformité.

Les sanctions : du manquement formel à l’amende sérieuse

La CNIL a infligé en 2024 et 2025 plusieurs sanctions à des startups françaises, pour des montants allant de 50 000 à 900 000 €. Les motifs récurrents : cookies non conformes, rétention excessive, défaut d’information, transferts hors UE mal encadrés, absence de coopération. Voir à ce sujet mon analyse des sanctions CNIL 2026.

Au-delà de la sanction administrative (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, Art. 83), une startup s’expose à trois risques souvent sous-estimés :

• Actions de groupe : depuis la loi du 22 décembre 2024 transposant la directive Representative Actions, les associations agréées peuvent porter des actions collectives en réparation des préjudices RGPD.
• Rupture de contrats B2B : les grands comptes imposent des clauses de résiliation en cas de non-conformité RGPD du prestataire. Une startup qui perd son premier gros client sur ce motif perd en général son pricing de référence.
• Réputation : les sanctions CNIL sont publiques sur Légifrance. Pour une marque émergente, un avertissement public entache durablement la crédibilité auprès des clients, des investisseurs et des talents.

Ce qu’il faut retenir

• Le RGPD s’applique aux startups dès le premier traitement, sans seuil ; le registre des traitements et la notification de violation sous 72 h valent pour vous aussi.
• Les cinq pièges classiques : sur-collecte, Google Analytics non configuré, sous-traitance ignorée, confusion des bases légales, absence d’anticipation de la sortie.
• La feuille de route évolue par stade : pré-seed (minimum vital), seed (organisation documentée), Series A (AIPD et encadrement), scale-up (gouvernance et industrialisation).
• Le DPO n’est obligatoire que dans trois cas précis mais sa désignation volontaire est un signal fort pour investisseurs et grands comptes.
• En due diligence, un registre à jour, des DPA complets et une AIPD réalisée suffisent à faire basculer l’avis des avocats acheteurs.

FAQ

Une startup qui ne fait pas de B2C doit-elle respecter le RGPD ?

Oui. Le RGPD s’applique à toute donnée personnelle, y compris des contacts B2B (nom, fonction, email professionnel nominatif d’un acheteur). Seules les données strictement anonymisées ou les données de personnes morales pures échappent au règlement. La quasi-totalité des bases CRM d’une startup B2B tombe sous le RGPD.

À partir de combien d’utilisateurs une AIPD est-elle nécessaire ?

Il n’y a pas de seuil numérique dans l’Art. 35. Une analyse d’impact s’impose dès qu’un traitement présente un risque élevé, notamment en cas de profilage systématique, de décisions automatisées avec effet juridique, de traitement à grande échelle de données sensibles ou de surveillance d’une zone accessible au public. La CNIL a publié une liste indicative des traitements nécessitant une AIPD (délibération n° 2018-327). À consulter avant toute fonctionnalité à risque.

Peut-on utiliser ChatGPT ou Claude dans une startup sans violer le RGPD ?

Oui, à condition de cadrer l’usage. Il faut désactiver l’entraînement sur vos données (option opt-out disponible sur les offres payantes), signer le DPA de l’éditeur, interdire en interne la saisie de données personnelles sensibles ou confidentielles dans les prompts, et privilégier les offres entreprises hébergées en UE quand elles existent. Voir l’analyse détaillée sur la page dédiée aux recommandations de la CNIL sur ChatGPT.

Un DPO externe peut-il suffire pour une startup en forte croissance ?

Oui, tant que le DPO dispose d’un accès direct à la direction, d’un budget minimal d’action, et d’un temps dédié proportionné à la taille. La CNIL a rappelé dans ses lignes directrices qu’un DPO externe est pleinement acceptable dès lors que les conditions d’indépendance, de moyens et d’information sont réunies (Art. 38 et 39). Pour une startup de moins de 100 salariés, un DPO externe 2 à 5 jours par mois est une solution standard et robuste.

Les investisseurs peuvent-ils bloquer une levée pour des motifs RGPD ?

Dans les faits, rarement sur le go/no go, mais fréquemment sur les conditions : ajustement de valorisation, holdback sur le prix, clauses indemnitaires spécifiques, obligations post-closing de mise en conformité sous 6 ou 12 mois. Une startup avec un gros trou RGPD voit ses conditions se durcir. Anticiper la conformité avant la levée, c’est protéger la valorisation.