Fin de la retenue pour Singlespot ! La startup, qui était dans le collimateur de la Cnil depuis plusieurs semaines, s'est vue notifier ce jeudi la levée de la mise en demeure à son encontre. Pointée du doigt pour un recueillement jugé peu explicite sur le consentement des utilisateurs à la collecte de leurs données, l'entreprise a modifié ses pratiques pour entrer dans les critères de satisfaction de l'institution. Et bénéficie d'une mise en conformité expresse, un mois seulement après l'ouverture de la procédure.
Un soulagement ? Pas vraiment, la startup ayant de longue date anticipé les remarques de la Cnil. Développant une solution de collecte des données de géolocalisation des utilisateurs pour aider les e-commerçants à mieux cibler leurs campagnes publicitaires, comme d'autres startups qui ont elles aussi fait l'objet d'une procédure, l'entreprise avait vu venir les contrôles. Et avait ainsi renforcé son équipe avec une avocate, qui devait l'aider, en plus d'un partenariat avec un cabinet d'avocats, à faire face voire éviter l'ouragan.
Répondre vite et bien aux exigences de la Cnil
Singlespot n'a finalement pas réussi à totalement convaincre la Cnil dès l'audit de contrôle, réalisé en début d'année. Entre le moment où le contrôle a eu lieu et les premiers retours de l'institution début octobre, elle avait déjà pris soin de modifier certaines pratiques et d'expurger sa base de données de toutes celles qui avaient été recueillies de manière irrégulière. Ce qui lui a permis, lors de la réception de l'analyse détaillée de la Cnil, de travailler plus efficacement. "Quatre jours après la réception des retours de l'audit, nous avions effectué les modifications nécessaires à la validation de la Cnil", se réjouit Thomas Opoczynski, CEO de la jeune pousse.
Et le moins qu'on puisse dire, c'est que l'entrepreneur ne garde pas un si mauvais souvenir de ce qui aurait pourtant pu constituer un moment difficile pour son entreprise. "Nous nous attendions à ce contrôle et nous l'attendions même avec impatience, a-t-il ainsi expliqué à Maddyness. En effet, il n'existe pas de certification officielle de respect du RGPD. Le seul moyen de convaincre nos utilisateurs et nos partenaires que nous étions en règle, c'était d'être contrôlés par la Cnil et d'obtenir sa validation de notre solution."
Faire d'un boulet un atout
Singlespot a ainsi pris le parti de faire de cet audit un atout marketing. "Nous avons eu 24 heures pour prévenir nos clients et partenaires qu'une procédure allait être ouverte, raconte l'entrepreneur. Nous leur avons expliquer quelles actions nous allions mettre en place et avons été transparents sur l'audit en cours. La procédure n'a donc pas été perçue comme une sanction." Et ces derniers ont même été soulagés de ces contrôles, alors que la technologie de collecte de données via SDK posait la question du respect de la réglementation.
"La mise en place du RGPD a eu pour effet de freiner certains clients qui voulaient travailler avec nous, parce qu'ils se demandaient si nous étions en règle, explique Thomas Opoczynski. Ils risquaient d'être lourdement sanctionnés s'ils travaillaient avec une entreprise qui n'était pas RGPD friendly." Cette levée de la procédure ouvre donc les horizons de la startup. "Cela valide à la fois notre positionnement technologique et notre parti pris d'investir du temps, de l'énergie et de l'argent dans les considérations légales", se réjouit-il.