Le paysage de la confidentialité à deux niveaux
L'infrastructure de confidentialité des données d'entreprise est dominée par des outils tarifés pour des organisations dont les budgets de conformité se mesurent en millions. Les produits de confidentialité des données d'Informatica, IBM InfoSphere Optim et BigID sont chacun conçus pour les processus d'approvisionnement des entreprises du Fortune 500, avec des projets de mise en œuvre, des engagements de services professionnels et des frais de licence annuels dans la fourchette des six chiffres. Ces outils fournissent une découverte, une classification, une anonymisation et des rapports de conformité complets sur les PII — des capacités dont les grandes entreprises ont réellement besoin pour leur échelle d'opérations.
Le fossé : 99 % des entreprises de l'UE sont des PME, et elles emploient 65 % de la main-d'œuvre de l'UE. Ces organisations sont pleinement soumises au RGPD — le RGPD n'a pas d'exemption pour les PME. Une startup de technologie juridique de 20 personnes traitant des formulaires d'admission de clients est soumise aux exigences de minimisation des données du RGPD (Article 5(1)(c)), au droit à l'effacement (Article 17) et aux exigences de protection technique (Article 32) sur la même base qu'une multinationale. Les exigences de la réglementation ne s'adaptent pas à la taille de l'organisation.
La réalité à deux niveaux : les grandes entreprises peuvent se permettre des outils de conformité dédiés et mettre en œuvre des mesures de protection des données techniques à grande échelle. Les PME prennent des raccourcis — stockant des PII dans des feuilles de calcul, enregistrant des données clients dans des bases de données non protégées, partageant des informations clients dans des e-mails non chiffrés — parce que les alternatives conformes sont tarifées au-delà de leur portée.
Le cas d'utilisation de la startup
Une startup de technologie juridique de 5 personnes traite des formulaires d'admission de clients. Ces formulaires contiennent des noms de clients, des coordonnées, des descriptions de cas et potentiellement des informations personnelles sensibles (circonstances familiales, détails financiers, informations de santé selon le domaine de pratique). La startup stocke ces formulaires dans son CRM pour la gestion des cas.
Le RGPD exige : une base légale pour le traitement (probablement l'exécution du contrat pour les clients existants, le consentement pour l'admission initiale), la minimisation des données (collecter uniquement ce qui est nécessaire), des mesures de sécurité appropriées au risque (Article 32) et des processus de droits des personnes concernées (accès, effacement, portabilité). Les responsabilités du DPO de la startup sont généralement gérées par un partenaire fondateur sans personnel de conformité dédié.
Une anonymisation abordable des PII pour cette startup signifie : anonymiser les données clients avant qu'elles n'entrent dans des systèmes partagés (le CRM, où plusieurs membres de l'équipe ont accès), anonymiser les données clients lors du partage avec des parties externes (dépôts judiciaires, avocats adverses, témoins experts) et anonymiser les données clients dans les flux de travail d'IA (rédaction de correspondance en utilisant Claude ou ChatGPT).
Le niveau gratuit gère les 500 formulaires d'admission mensuels de la startup. Le plan Starter à 3 €/mois couvre la croissance jusqu'à 1 000 documents. Le plan Professionnel à 15 €/mois gère 5 000 documents mensuels à mesure que la pratique se développe. Coût annuel total au niveau Professionnel : 180 €. L'alternative d'entreprise : 30 000 €/an minimum. Le résultat de conformité : équivalent pour le cas d'utilisation de la startup.
Le problème de l'écart de conformité des PME
L'asymétrie de prix entre les outils d'entreprise et les besoins des PME crée un échec systématique du marché : les personnes concernées dont les informations sont traitées par des PME reçoivent moins de protection que celles traitées par des entreprises — non pas parce que les PME se soucient moins de la conformité, mais parce que les outils sont tarifés pour les entreprises. Le cadre réglementaire uniforme du RGPD, s'appliquant également aux organisations de toutes tailles, suppose implicitement que des outils techniques de conformité abordables existeront à tous les niveaux de prix. Le marché ne les avait pas fournis.
Sources :
- Commission européenne : les PME représentent 99 % des entreprises de l'UE et 65 % de la main-d'œuvre de l'UE
- Articles 5, 17, 32 du RGPD : minimisation des données, effacement et exigences de protection technique
- Considérant 71 du RGPD : Proportionnalité des obligations de protection des données pour les PME