Data Privacy

RGPD pour startups : roadmap conformité MVP 2026

Guide RGPD startup : roadmap MVP-friendly, due diligence levée de fonds, DPO, registre. Priorités 0-12 mois pour conformité légale et investisseurs.

TD
Dr. Thiébaut Devergranne
3 juin 20262 min read

En une phrase. Une startup a deux fenêtres critiques RGPD : mise en marché du MVP (collecter dès l’origine de manière conforme évite la dette technique) et levée de fonds Series A+ (due diligence approfondie par les VC depuis 2022). Roadmap minimale : 0-3 mois registre des traitements + mentions information + cookies, 3-6 mois PIA pour traitements à risque + sécurité de base, 6-12 mois DPO + procédures + audit. Une startup non conforme valorisée 30 M€ peut voir sa valorisation amputée de 10-20 % par les VC lors de la due dil.

Les sanctions CNIL touchent maintenant les startups : JobTeaser 200 K€ (2023), Doctolib mises en demeure successives, Click and Boat avertissement 2023. Les LP institutionnels (Bpifrance, KKR, Eurazeo) exigent un audit RGPD avant tout investissement.

Pour approfondir : PSSI ANSSI, RGPD Suisse, PCA ANSSI.

Points clés

  • Privacy by Design dès le MVP : 10x moins cher que rétro-conformer.
  • Registre des traitements : obligatoire dès le 1er traitement (sauf < 250 salariés ET pas de risque).
  • DPO obligatoire si traitement à grande échelle de données sensibles (santé, mineurs, biométrie).
  • Due diligence VC : gap analysis RGPD systématique depuis Series A.
  • Sous-traitants : DPA art. 28 signé avant production (Stripe, AWS, Mailchimp…).

1. Pourquoi le RGPD est un sujet startup

Trois raisons :

  1. Légal : sanctions 4 % CA mondial ou 20 M€
  2. Commercial : grands comptes (CAC40) exigent conformité prouvée
  3. Capital : VC font auditer la conformité depuis 2022 (impact valorisation 10-20 %)

Pour une startup B2C : risque CNIL > risque VC. Pour une startup B2B SaaS : risque VC + risque commercial > risque CNIL.

2. Roadmap 0-3 mois (pré-MVP / MVP)

Action Coût
Mentions information site web et app 0-2 K€
Politique cookies + bandeau (Axeptio, Didomi, Tarteaucitron) 0-3 K€/an
CGU + CGV avec clauses RGPD 1-3 K€ avocat
Registre des traitements (template CNIL) Temps interne
Mail compliance (DPA Mailchimp, Brevo, Resend) 0 €
Hébergement UE par défaut (OVH, Scaleway, Hetzner) < 100 €/mois
Inscription RGPD interne (formation 2h équipe) 0 €

Budget total : 5-10 K€ pour démarrer conforme.

3. Roadmap 3-6 mois (croissance)

À ajouter :

  • PIA si traitement à risque (scoring, IA, mineurs, santé, géolocalisation)
  • Politique de sécurité documentée (ANSSI guide PME)
  • Procédure violation données < 72h
  • Procédure exercice droits (formulaire, traitement < 30 jours)
  • Audit cookies trimestriel (chrome devtools, Cookie Quick Check)
  • Sous-traitants : signer DPA pour chaque (AWS, Stripe, Twilio…)

Budget : 10-25 K€ pour cette phase.

4. Roadmap 6-12 mois (pré-Series A)

À finaliser :

  • DPO désigné (externe = 500-1500 €/mois mutualisé, interne = part-time)
  • PIA documenté pour chaque traitement à risque
  • Cartographie flux extra-UE + clauses contractuelles types (CCT)
  • Politique conservation par type de donnée
  • Plan de continuité d’activité (PCA léger)
  • Audit blanc par cabinet ou DPO externe
  • Formation équipes RH + Sales + Tech

Budget : 20-50 K€ pour cette phase.

5. Due diligence VC : ce qu’ils regardent

Checklist type Series A 2025-2026 :

  1. Registre des traitements : à jour, exhaustif
  2. DPO : désigné, opérationnel, indépendant
  3. PIA : présent pour traitements à risque
  4. Mentions information : conformes sur tous canaux
  5. Sous-traitants : DPA signés
  6. Transferts hors UE : encadrés (DPF, CCT, BCR)
  7. Cookies : bandeau CNIL-compliant
  8. Violation historique : déclarée CNIL
  9. Sanctions ou plaintes pendantes : aucune
  10. Charte sécurité : présente

Un audit RGPD défaillant peut conduire à : (a) demande de remédiation post-investissement, (b) baisse valorisation 10-20 %, © abandon du deal (rare mais arrive).

6. Quand désigner un DPO ?

DPO obligatoire (RGPD art. 37) si :

  • Autorité publique
  • Suivi régulier à grande échelle
  • Traitement à grande échelle de données sensibles (art. 9, 10)

Pour la majorité des startups B2B SaaS < 50 salariés : non obligatoire mais recommandé fortement dès Series A.

Options :

  • DPO interne : COO/Legal Lead avec formation (1-2 jours)
  • DPO externe mutualisé : 500-2000 €/mois (cabinets DPO, avocats spécialisés)
  • DPO freelance : 1500-4000 €/mois selon mission

7. Stack outils français pour startup

Catégorie Outils français
Hébergement OVHcloud, Scaleway, Clever Cloud
E-mail transactionnel Brevo, Mailjet
Newsletter Brevo, Mailjet
Analytics Plausible (US/EU), Matomo (FR self-host)
CRM Brevo, Sellsy, Axonaut
Paiement Stripe (DPA), Lemonway, Mangopay
Authentification Auth0, Clerk + alternatives EU
Stockage fichiers OVH Object Storage, Scaleway
Visioconf Tixeo, Whereby, Livestorm

Privilégier souverain quand fonctionnellement équivalent.

8. Sous-traitants : le réflexe DPA

Avant de mettre en production tout outil tiers :

  1. DPA (Data Processing Agreement) signé ou accepté (clic + archive)
  2. Vérifier localisation des données
  3. Vérifier garanties transferts hors UE (DPF, CCT)
  4. Vérifier certifications (SOC 2, ISO 27001, HDS si santé)
  5. Inscrire dans le registre des sous-traitants

Stripe, AWS, Mailchimp, Hubspot, Slack, Google Workspace : tous proposent un DPA standard à signer/accepter.

9. Cookies : conformité 2026

Bandeau CNIL-conforme :

  • Refuser aussi simple qu’accepter (boutons côte à côte)
  • Pas de cookies déposés avant consentement
  • Pas de murs cookies forcés
  • Information détaillée des finalités
  • Retrait du consentement à tout moment

Solutions : Axeptio (FR), Didomi (FR), Tarteaucitron (open source FR), Cookiebot (DK).

Sanctions CNIL cookies 2021-2026 : Google 150 M€, Meta 60 M€, Microsoft 60 M€, Yahoo 10 M€, Yves Rocher 800 K€.

10. Sanctions startup notables

Année Startup Sanction Motif
2020 Spartoo 250 K€ Conservation excessive
2021 Brico Privé 500 K€ Sécurité + sauvegarde
2023 JobTeaser 200 K€ Conservation candidats
2023 Cityscoot 100 K€ Géolocalisation
2024 Pap.fr 30 K€ Recrutement
2024 Hubside.Store 500 K€ Démarchage
2025 Plusieurs PS 5-20 K€ Cookies, droits

11. Erreurs fréquentes startup

  • Copier-coller CGU d’un concurrent sans audit (mention vide)
  • Ne pas signer DPA avec sous-traitants (responsabilité directe)
  • Stocker données hors UE par défaut (AWS US, Heroku EU vs US)
  • Trop conserver (« on garde tout au cas où »)
  • Ne pas former l’équipe (responsable de violation involontaire)
  • Ignorer les demandes d’exercice de droits (sanction CNIL quasi automatique)
  • Surveillance excessive des employés (RGPD + Code travail)

12. Outillage RGPD pour startup

  • Notion / Confluence : registre, politiques (gratuit)
  • Doctolib : DPO mutualisé secteur santé
  • Dastra : plateforme RGPD française (à partir de 39 €/mois)
  • Legiscope : outil RGPD + IA (à partir de 49 €/mois)
  • OneTrust : grands comptes
  • Didomi : consent management + RGPD
  • Vanta / Drata : SOC 2 + RGPD

Outil simple suffit en phase MVP ; outil avancé après Series A.

FAQ

Une startup en seed doit-elle être RGPD-conforme ?

Oui dès le 1er utilisateur traité. Mais la conformité est proportionnée au risque : un MVP B2B SaaS avec 10 clients ne nécessite pas le même investissement qu’une fintech B2C avec 100 000 utilisateurs. Priorités seed : mentions information + cookies + DPA sous-traitants + registre minimal.

Quel budget RGPD pour une startup ?

Seed (0-12 mois) : 5-15 K€ (templates, conseils ponctuels). Série A (12-24 mois) : 20-50 K€ (DPO part-time, PIA, audit). Série B+ : 50-200 K€/an (DPO temps plein, outils, audits, certifications). Coût d’un défaut de conformité (sanction + réputation + impact deal) > 10x ces montants.

Faut-il un DPO en startup ?

Pas avant 20-30 salariés ou traitement sensible. Pour la majorité des startups : DPO mutualisé externe (500-2000 €/mois) est suffisant. Dès Series A, certains VC l’exigent. Pour startups santé/fintech/IA : DPO dès le démarrage.

Comment gérer les transferts USA depuis 2023 ?

Data Privacy Framework (DPF) en vigueur depuis juillet 2023 : vérifier que le sous-traitant US est certifié DPF (dataprivacyframework.gov). Sinon : Clauses Contractuelles Types (CCT) + mesures supplémentaires (chiffrement, pseudonymisation). À défaut : alternative UE.

Que faire en cas de violation de données dans une startup ?

(1) 72h pour notifier CNIL via téléservice, (2) Documenter (timeline, données, mesures), (3) Notifier personnes concernées si risque élevé, (4) Inscrire dans registre violations, (5) REX et plan d’actions. Avocat spécialisé RGPD recommandé (1-5 K€). Une violation bien gérée n’aboutit pas systématiquement à sanction.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →