Pour démarrer cette nouvelle année sur de bonnes bases, j’ai choisi de vous parler d’un sujet important pour la durabilité de nos business : respecter la loi et adopter les réflexes basiques pour mettre en conformité légale et protéger nos entreprises en ligne.
Si le langage juridique peut paraître aussi compliqué qu’une équation de maths tordue 🤦🏻♀️, ne vous inquiétez pas. Vous n’êtes pas seul à penser cela !
C’est pourquoi j’ai invité une experte en la matière, l’avocate Bénédicte Vettier, qui partagera avec nous des conseils pratiques et des astuces simples pour vous aider à respecter la loi sur les sujets du RGPD, la cybersécurité, l’intelligence artificielle, le cadrage des missions déléguées.
Commençons ensemble ce voyage vers un territoire juridique compréhensible et surtout, applicable à notre réalité entrepreneuriale.
- Merci Bénédicte d’avoir accepté ma sollicitation pour nous parler des bons réflexes à adopter pour mettre en conformité légale nos entreprises en ligne. Peux-tu te présenter et nous expliquer ton parcours ?
- J’avais envie de commencer cet entretien par une notion que l’on a tous déjà entendue, mais qui pourtant fait hérisser les poils de l’entrepreneur : le RGPD. Peux-tu nous dire en quoi cela consiste, si toutes les entreprises en ligne sont concernées, et quelles sont les premiers réflexes à mettre en place pour être en conformité ?
- Dans la continuité des “données”, peux-tu nous sensibiliser sur la thématique de la cybersécurité quand on a une entreprise en ligne ? Et quelles sont les bonnes pratiques à adopter ?
- Fraîchement débarquée parmi les outils digitaux, l’IA semble être un puissant levier dans le business. Pourtant, aujourd’hui, elle peut représenter un risque ou des irrégularités sur un plan juridique. Que conseillerais-tu aux entrepreneurs en ligne qui l’utilisent ?
- Depuis que je suis ton parcours, je peux te dire que nous avons un point commun : l’attachement au cadrage de la délégation pour l’entrepreneur (et son prestataire). J’aimerais que tu nous en dises un peu plus sur l’importance de bien ficeler la délégation par un contrat, ce qu’il doit impérativement comporter et ce que l’on risque si on ne le fait pas ?
Merci Bénédicte d’avoir accepté ma sollicitation pour nous parler des bons réflexes à adopter pour mettre en conformité légale nos entreprises en ligne. Peux-tu te présenter et nous expliquer ton parcours ?
Bonjour à tous les lecteurs avisés 👋🏻 ! Je suis Bénédicte Vettier, avocate au Barreau de Grenoble.
Juriste d’affaires pendant 10 ans dans des groupes internationaux, c’est en 2021 que j’ai fait le choix de la reconversion vers le métier d’assistante virtuelle puis OBM, où j’ai eu l’opportunité de travailler avec des noms connus de l’écosystème des infopreneurs français.
Cette expérience m’a permis d’appréhender en profondeur ce milieu, de me former à la pratique du webmarketing, et comprendre les problématiques business rencontrées par les entrepreneurs du web.
Aujourd’hui j’interviens principalement en tant que conseil auprès d’entreprises web pour les questions juridiques liées à leur activité (contrats d’affaires, CGV, conformité site web et de leurs activités en ligne, etc.).
J’avais envie de commencer cet entretien par une notion que l’on a tous déjà entendue, mais qui pourtant fait hérisser les poils de l’entrepreneur : le RGPD. Peux-tu nous dire en quoi cela consiste, si toutes les entreprises en ligne sont concernées, et quelles sont les premiers réflexes à mettre en place pour être en conformité ?
Depuis 2018, le Règlement Général sur la Protection des Données Personnelles (RGPD de son petit nom) est une « loi européenne » qui définit le cadre dans lequel une entreprise peut utiliser les données à caractère personnel. Le but de ce règlement n’est pas d’interdire d’utiliser les données, mais de décrire les modalités de leur utilisation dans le but de garantir les droits des individus.
👉🏻 Il faut d’abord comprendre ce qu’est une donnée personnelle.
Il s’agit d’une information qui permet d’identifier un humain, directement ou indirectement, y compris par un croisement de données. La notion est hyper large : nom, prénom, pseudonyme, empreinte digitale, adresse IP, coordonnées bancaires, identifiant client, informations sur les intérêts et goûts personnels, vidéo ou audio d’une personne, etc. Donc dès lors qu’on établit un devis pour un client, qu’on collecte des emails pour envoyer sa newsletter, qu’on discute avec des prospects via DM sur Instagram ou Linkedin… on utilise de la donnée personnelle (cette utilisation s’appelle un « traitement »).
Le RGPD s’applique à toutes les entreprises, associations, collectivités publiques… basées dans l’Union Européenne, ou à celles traitant les données de personnes résidant en Europe (ça veut dire qu’une entreprise située hors d’Europe est concernée si elle vise une clientèle européenne).
Une entreprise en ligne est donc totalement concernée, même si on est solo, même si on est enregistré à Dubaï ou à Maurice 🍹, dès lors que la clientèle est française ou européenne.
➖ Sur ce point, je tiens à préciser qu’il y a des lois sur la protection des données dans beaucoup de pays, et qu’elles devront aussi être prises en compte lorsqu’on décide de s’installer à l’étranger ou d’étendre son activité à l’international !
Pour démarrer votre mise en conformité, vous pouvez commencer par quelques actions simples :
- Mettre en place une adresse email dédiée pour les demandes d’exercice des droits liés au RGPD : par exemple dpo@votreentreprise, rgpd@votrentreprise… Cela permet d’être sûr de ne pas passer à côté de ces demandes, qui doivent en général être traitées sous 30 jours.
- On collecte le moins de choses possible : par exemple, pas besoin de récupérer un numéro de téléphone sur un formulaire si c’est pour envoyer une newsletter. Il faut donc réfléchir et être capable répondre aux questions « qu’est-ce que je veux faire, pourquoi je veux le faire, quelles données sont vraiment indispensables pour le faire ? »
- On fait la liste de tous ses outils, logiciels, prestataires et sous-traitants pour savoir à qui on envoie des données : banque, expert-comptable, CRM, outil d’emailing, réseaux sociaux, fournisseur de téléphonie, cloud, etc. Accessoirement, ça vous permettra de faire du ménage 🧹…
- Informer les personnes de l’utilisation de leurs données : on met en place une politique de confidentialité, une politique de cookies, des mentions d’informations sur les formulaires de collecte. Il faut avoir une « vitrine » parfaite avec un site web aux normes, c’est un premier pas.
- Enfin, on met en place des bonnes pratiques en matière de sécurité.
🔜 Il faudra par la suite mettre en place le registre des traitements : c’est un document interne à votre entreprise, obligatoire, qui recense les traitements et les données personnelles concernées. La réalisation du registre permet de voir les trous dans la raquette niveau conformité, et donc de bâtir un plan d’actions.
Dans la continuité des “données”, peux-tu nous sensibiliser sur la thématique de la cybersécurité quand on a une entreprise en ligne ? Et quelles sont les bonnes pratiques à adopter ?
La cybersécurité englobe toutes les mesures mises en place pour protéger les réseaux et systèmes d’information, leurs utilisateurs et les personnes exposées aux cybermenaces 🏴☠️.
Les cybermenaces recouvrent toutes les attaques qu’une entreprise peut subir en ligne ou par des moyens dématérialisés (hameçonnage, hack, cybersquatting, etc.)
Aujourd’hui la question n’est pas de savoir si une entreprise va subir une attaque mais QUAND est-ce que l’attaque va survenir.
👉🏻 Aussi, il est indispensable de mettre en place des bonnes pratiques le plus rapidement possible.
ℹ️ Dans le cas d’une entreprise en ligne, la prise en compte de ces risques est encore plus cruciale que les impacts peuvent être très concrets, avec des conséquences financières, en termes d’image et de réputation, voire des risques pour les personnes – que ce soit vos clients, vos prestataires ou vous-même (en particulier l’usurpation d’identité qui est un véritable fléau).
À ce stade je vous invite fortement à prendre connaissance du guide de la cybersécurité pour les TPE/PME publié par l’ANSSI, l’agence française de sécurité informatique.
Des mesures simples à mettre en place le plus vite possible :
- Sauvegardez régulièrement vos données, sur 2 supports différents au moins : par exemple sur un disque dur externe (chiffré) et sur un cloud sécurisé, comme Nextcloud ou Proton (oubliez Dropbox et Google Drive).
- Faites attention au hameçonnage (phishing), l’email est le moyen principal d’entrée pour une attaque : ✉️ si vous recevez un email ou un message (SMS, Whatsapp ou autre) inhabituel, même d’une personne que vous connaissez, ne cliquez pas sur les liens qu’il contient et ne téléchargez pas les pièces jointes, supprimez-le sans répondre (ou téléphonez à votre connaissance pour lui demander si c’est bien elle qui en est à l’origine 😉 ).
- Créez des mots de passe forts (15 caractères minimum) ou mieux, une phrase de passe ! Pour un bon mot de passe c’est la longueur qui compte pour le coup…
- Utilisez un gestionnaire de mots de passe (Bitwarden, Keepass ou Dashlane sont 👍🏻). N’utilisez pas les fonctions de sauvegarde de mots de passe de votre navigateur web, ce n’est pas sécurisé.
- Installez les mises à jour de vos logiciels et applications : activez les mises à jour automatiques pour vous simplifier la vie !
- Activez l’authentification à 2 facteurs lorsque c’est proposé.
- Installez un antivirus et un parefeu (firewall) sur votre machine.
- Chiffrez vos données pour qu’elles soient inutilisables en cas de perte ou piratage ! Sur Windows vous avez Bitlocker déjà installé selon votre licence, sinon utilisez Veracrypt.
- Utiliser un VPN si vous devez vous connecter à un wifi public.
- Et enfin formez-vous ! Notamment avec le MOOC SécNumacadémie de l’ANSSI.
🔜 Ensuite, vous pouvez également envisager de souscrire à une assurance cyber, voire faire réaliser un audit par un prestataire cyber afin d’établir un plan d’actions personnalisé.
Fraîchement débarquée parmi les outils digitaux, l’IA semble être un puissant levier dans le business. Pourtant, aujourd’hui, elle peut représenter un risque ou des irrégularités sur un plan juridique. Que conseillerais-tu aux entrepreneurs en ligne qui l’utilisent ?
Ce dont on parle ici ce sont uniquement les outils d’intelligence artificielle générative, type ChatGPT, Midjourney, Bard, Stable Diffusion, etc.
C’est un levier intéressant à condition que leur utilisation soit réfléchie en amont 💬.
Il faut savoir que les données contenues dans les documents ou les prompts soumis à l’outil de GenAI ont vocation à permettre l’entraînement des algorithmes de l’IA, quel que soit l’outil en cause.
Le risque de fuite de données internes à l’entreprise n’est donc pas à prendre la légère ⚠️, dans la mesure où des secrets d’affaires peuvent être exposés, de façon intentionnelle ou non, si l’utilisation de l’IA est faite sans précautions adéquates. N’importe quel type de données et d’informations ayant un caractère confidentiel ou stratégique est ainsi susceptible d’échapper au contrôle de leur titulaire : informations financières, codes sources, liste de clients, stratégie de développement…
Il faut donc faire preuve de bon sens :
- Ne jamais donner à l’outil d’informations confidentielles ou stratégiques pour votre entreprise, pour éviter qu’elles perdent leur caractère confidentiel.
On ne rentre pas de mots de passe, numéros de carte bancaire ou tous types de codes, des données financières confidentielles, des informations non publiques de votre entreprise comme des bases de connaissances, process, etc..
De même, on ne lui demande pas de rédiger, d’améliorer, d’interpréter ou d’analyser des rapports, des comptes-rendus, sur des sujets confidentiels ou qui vous ont été transmis de façon confidentielle par un client/partenaire.
- Il faut également toujours vérifier les résultats générés (outputs), parce que, au-delà des hallucinations (erreurs générées du fait que ça reste un outil basé sur les probabilités et statistiques), les outputs peuvent être contraire à la réglementation applicable.
On s’assure que les textes ne contiennent pas de propos discriminants, diffamatoires ou contraires à la législation (homophobie, injurieux, etc.), que ces textes soient conformes à la législation s’ils sont à finalité publicitaire (en particulier les textes concernant l’alcool, les produits financiers, la santé, etc…).
On vérifie aussi que les textes générés (type poème, ou si on lui demande des slogans par exemple) ne soient pas du plagiat ou contrefaçons de textes/marques/titres préexistants appartenant à des tiers.
Il faut aussi faire preuve de la plus grande prudence si vous demandez à ChatGPT de rédiger un contrat ou de résoudre un problème juridique ou fiscal : sous une apparence de fiabilité, les résultats générés doivent impérativement repasser par la moulinette d’un professionnel du droit car les outputs peuvent contenir des erreurs avec des conséquences potentiellement graves pour vous.
- Il faut aussi prévenir les risques niveau protection des données personnelles.
Mettre des données personnelles sur un outil comme ChatGPT est contraire à la réglementation de plein de manières (détournement de finalité, transfert non encadré aux USA, etc). Donc on n’envoie pas à ChatGPT d’informations personnelles sur ses collaborateurs, prestataires ou clients (nom, prénom, adresse, email, données du CRM, etc.)
Enfin, je vous passe les considérations éthiques et écologiques qui accompagnent le développement de ces outils 🥹.
Je répète donc que leur usage dans le business doit être pensé au plus tôt.
ChatGPT et consorts sont des outils pour vous faciliter certaines tâches, ils ne sont pas là pour remplacer des experts qui seront en mesure de vous conseiller efficacement.
Depuis que je suis ton parcours, je peux te dire que nous avons un point commun : l’attachement au cadrage de la délégation pour l’entrepreneur (et son prestataire). J’aimerais que tu nous en dises un peu plus sur l’importance de bien ficeler la délégation par un contrat, ce qu’il doit impérativement comporter et ce que l’on risque si on ne le fait pas ?
Tout entrepreneur a recours tôt ou tard à des prestataires ou des sous-traitants, de façon ponctuelle ou récurrente.
L’encadrement de ces relations commerciales par un contrat sur-mesure est indispensable, principalement pour les raisons suivantes :
- Décrire la prestation et son prix
Les litiges démarrent en général sur un désaccord quant au contenu des prestations et le prix. Il faut donc détailler le plus possible les prestations, ce qui est inclus et ce qui ne l’est pas, afin d’éviter tout malentendu. Enfin, le prix et aussi les modalités de paiement sont des questions essentielles : à quel moment le prestataire facture-t-il ? Et si l’entrepreneur n’est pas content du travail ? S’il est à l’étranger, qui supporte les frais bancaires ou de change ? etc. Tous ces points sont des sujets de friction qu’il vaut mieux préparer le plus tôt possible, quand les relations sont sereines.
- Prévenir la requalification en contrat de travail
Il suffit parfois de certaines mentions manquantes dans le contrat, de quelques formulations peu heureuses dont les entrepreneurs en ligne sont friands, comme « offre d’emploi », « salaire » pour un « poste en freelance », ou d’exercice de prérogatives réservées à l’employeur telle que demander un « temps plein », la « non concurrence », la définition d’objectifs et KPI à atteindre… et autres exigences venant restreindre la liberté d’entreprendre du prestataire.
C’est le sujet qui peut dégénérer le plus rapidement à mon sens. Les entrepreneurs en ligne ne sont pas encore suffisamment conscients de ce risque spécifique, qui peut les mettre en très grande difficulté. Le travail dissimulé est en plus une infraction pénale, qui peut aboutir à une interdiction de gérer une entreprise.
- Encadrer les cessions des droits de propriété intellectuelle
La propriété intellectuelle et notamment le droit d’auteur, que ce soit dans le business en ligne ou dans la majorité des industries, c’est le nerf de la guerre. Il est indispensable d’organiser le transfert des droits qui peuvent être générés par le prestataire. Et pour ça, en France, le contrat écrit est obligatoire.
- Préserver le secret des affaires
Les informations échangées lors d’une relation commerciale peuvent avoir une importance capitale pour l’entreprise : par exemple, sa stratégie de développement, sa liste de clients, ses formations, ses données financières… Autant d’informations qu’il faut protéger pour éviter qu’elles ne soient diffusées par un prestataire indélicat !
ℹ️ Un contrat de prestation de services, ou de sous-traitance selon le cas, devra donc être pensé minutieusement pour aborder tous ces points et organiser de façon équilibrée la relation entre l’entrepreneur et son prestataire.
En adoptant les réflexes basiques que nous avons explorés ensemble (merci encore Bénédicte 🙏🏻), nous avons posé les premières pierres d’une base solide pour la conformité légale de nos entreprises en ligne. Se conformer à la loi n’est pas seulement un devoir, mais c’est aussi une stratégie 🚀 de protection indispensable pour assurer la durabilité de nos business.
Alors, en avant vers cette nouvelle année, armés de connaissances fraîchement acquises et d’une perspective plus claire sur les enjeux juridiques.
Que la conformité légale devienne une alliée dans le développement de nos activités en ligne, et que la protection de notre entreprise soit au cœur de nos préoccupations d’entrepreneurs.
