Bon, voilà une tâche bien ardue qu’on a décidé d’attaquer là. Que fait-on si on récolte de la donnée sensible dans la sextech ? Comment stocke-t-on cette donnée sexuelle ? Qu’est-ce qu’on a le droit de demander ou non, de conserver ou non ? On va tenter de vous éclairer un minimum pour vous permettre de vous en sortir dans cet océan…vide.
Vide, c’est le cas de le dire. Essayez de chercher “Comment traiter la donnée sexuelle dans le cadre de la RGPD” sur Google et vous allez être ravi.e.s.
Heureusement, on a quelques copains qui bossent dans la santé et qui ont pu nous éclairer un minimum. Cet article est là uniquement à titre d’information, pour vous donner quelques pistes. Le plus sûr si vous êtes hésitant reste de demander directement à la CNIL.
La RGPD : ceux qui s’y intéressent et les autres
Comme souvent dans le monde de l’entrepreneuriat et des startups, vous avez deux mondes qui s’opposent : ceux qui s’intéressent à la RGPD et ceux qui mettent ça sous le tapis pour plus tard. C’est vrai que c’est un sujet délicat : quand on est tout petit et qu’on se lance, on n’a pas forcément les épaules pour s’attaquer à un mastodonte comme la RGPD.
Toutefois, quand on est dans le milieu du sexo, c’est une mauvaise idée de faire l’autruche. Car oui, vous pourrez rapidement être amenés à récupérer des données sensibles sur vos potentiels clients. Et s’il y a une fuite ou une plainte, vous pourriez bien être embêté.e. (et vos clients aussi) C’est le cas quand on traite de la donnée sensible. Alors il vaut peut-être mieux appliquer le principe de précaution et c’est ce qu’on va tenter de faire ici.
Les données sensibles, c’est quoi ?
La CNIL liste les données sensibles et c’est sans appel : toute donnée à caractère sexuel est bien une donnée sensible.
Maintenant qu’on sait ça, comment faire quand on est une startup et qu’on récolte de la donnée sexo ?
C’est quoi une donnée sensible et sexuelle
C’est assez simple, tout y rentre : fréquence des rapports, orientation sexuelle, usage de jouets, pratiques libertines, âge du premier rapport… Pas la peine de se casser la tête ici puisque tout est concerné.
Pour rappel, la réglementation RGPD est valable dans toute l’Europe, même si en France on est un peu plus surveillés puisque la CNIL veille au grain.
Pourquoi j’aurais besoin de récolter de la donnée sexuelle ?
Vous vous dites peut-être que c’est inutile, pourtant si vous avez une sextech ou si vous êtes sexologue et que vous voulez développer votre business en ligne, vous pourriez vite vous poser la question.
Des données à usage d’études statistiques
La première raison pour laquelle vous pourriez récolter ce type d’information, c’est pour réaliser des études sur le monde du sexo.
En effet, puisque l’éducation sexuelle ouverte et bienveillante commence à prendre de la place et que la data est reine, nous sommes de plus en plus à chercher ce genre d’info. Pour informer, oui, mais aussi pour mieux connaître son marché.
Des données à usage Marketing
De toute évidence, quand on monte sa boîte on cherche à alimenter sa mailing list et à mieux cibler ses utilisateurs, le tout pour pouvoir vendre.
C’est logique, puisque c’est la bonne chose à faire pour réussir sa boîte ! Par contre, il va falloir être vigilant.e sur la façon dont on la demande, dont on la conserve et dont on l’utilise.
Traiter les données sexuelles
Pour commencer, il n’y a rien de limpide à ce sujet sur le site de la CNIL. Les choses sont un peu plus claires quand il s’agit des données de santé et c’est vers là qu’on se dirige.
Puisque les règles ne sont pas évidentes, il vaut mieux pouvoir montrer patte blanche à la CNIL en cas de contrôle. Notre avis chez Bimbojam, c’est donc de traiter les données de sexuelles comme si elles étaient des données de santé. Il y a donc quelques précautions à prendre pour être le plus clean possible.
Comment je demande la donnée ?
Tout d'abord, l’utilisateur doit donner son consentement clair pour vous transmettre cette info. En gros, il faut effectivement lui demander son accord pour récupérer les infos.
Ensuite, vous devez lui demander une information seulement si vous allez en avoir besoin. On passe toutes les infos inutiles.
Voici quelques exemples simples :
- En tant normal, vous pourriez demander le nom et le prénom de vos prospects et/ou clients. Dans le cadre des données sensibles, si vous n’avez pas effectivement besoin, vous ne les demandez pas. Car cela permet d’identifier une personne de manière évidente. Si vous faites un formulaire, vous pouvez plutôt proposer de renseigner un surnom ou bien le prénom de manière optionnelle.
- Vous souhaitez avoir l’info de l’anniversaire de votre prospect ? Plutôt que de demander la date de naissance exacte, sollicitez plutôt le mois d’anniversaire.
- Vous souhaitez connaître son âge ? Vous n’avez sans doute pas besoin de son âge exact, mais juste de sa tranche d’âge “entre 25 et 30 ans”, “entre 30 et 35 ans” etc…
Et comment faire si vous avez besoin de plus d’infos ? Comme cela pourrait être le cas si vous souhaitez recommander une solution, un produit, un jouet… Ou simplement mieux cibler vos newsletters.
Pour ce faire, il faudra être vigilant sur le stockage et l’utilisation de la donnée.
À noter ici : une adresse mail est considérée comme étant un moyen d’identifier une personne de manière spécifique. C’est pour cette raison que toutes les data récupérées ainsi que le mail, doivent être stockée de manière sûre.
Le stockage de données sensibles
Quand on est expert en SEO comme chez Bimbojam, on a forcément quelques bases côté technique. Je vais essayer de vulgariser ce que des dev m’ont expliqué en ce qui concerne la gestion de la donnée de santé et donc, celle de la donnée sexuelle.
Pourquoi être vigilant sur le stockage de la donnée ?
La raison pour laquelle il faut apporter cette vigilance, c’est un risque humain : si vous gérez de la donnée sexuelle mais qu’on vous vole cette data ou bien que votre fournisseur se fait pirater, vos client.e.s pourraient être mis dans une situation désagréable.
Imaginons que votre client.e a une MST/IST dont il n’a pas parlé, qu’il ou elle n’a pas fait son coming-out ou qu’il existe une relation d’adultère dissimulée… Ce serait bien embêtant que cette donnée soit réutilisée avec de mauvaises intentions.
Comment stocker cette donnée sensible ?
Privilégier des hébergeurs certifiés
Pour info, les startups dans le médical ont l’habitude de travailler avec des hébergeurs certifiés “HDS”, cela veut dire qu’ils sont certifiés “Hébergeur de données de santé” : eux-mêmes ont mis en place des niveaux de sécurité important pour garantir la confidentialité et la sécurité des data.
Puisque ce n’est pas clair côté data sexuelle, il ne semble pas obligatoire d’utiliser ce type d’hébergeur pour la gestion de la donnée.
Par ailleurs, c’est quasiment impossible de trouver des outils no-code qui ont la certification HDS. Pour cette raison, il y a 3 autres certifications que vous pouvez rechercher chez les presta et startups avec qui vous bossez :
- La norme ISO 27001 : c’est une norme de management de la sécurité de l’information qui certifie la qualité de la gestion des informations sensibles. Elle est délivrée par des organismes indépendants après de longs mois d’audit.
- Le respect de la réglementation RGPD : au vu de l’importance des informations, c’est le grand minimum sur le sujet. Quand vous choisissez un outil tiers, scruter son site internet pour voir s’il respecte la norme RGPD et quel est son niveau d’implication. Certains sites en parlent sur deux ligne, d’autres qui ont des guides complets, cela vous aidera surement à déterminer qui est le plus impliqué dans le sujet.
- La norme HIPPA : qui est la norme américaine “Health Insurance Portability and Accountability Act” qui impose aux intervenants de santé la gestion sécurisée de leurs données. Selon nous, cette norme seule n’est pas suffisante pour valider un partenaire. Elle est juste une garantie de sérieux supplémentaire si vous hésitez entre différents providers.
Privilégier des entreprises françaises ou européennes
On le sait, et c’est pour ça que la RGPD existe, les données ne sont pas traitées de la même manière en Europe et ailleurs. Pour cette raison, on vous invite à privilégier des partenaires français et européens si c'est impossible de travailler en France.
Créer des base de données séparées et anonymisées
C’est dans cette 3e partie qu’il va falloir s’accrocher un peu. En fait, pour sécuriser la donnée, il faut normalement la gérer dans deux bases de données distinctes. Cela permet de limiter le risque : si vous vous faites piquer une base de donnée, l’accès à la seconde reste sécurisée (et inversement).
Il vous faudra donc deux entités :
- L’une avec par exemple, le mail, le surnom et une clé secrète
- L’autre avec les informations sensibles et la même clé secrète
On va vous faire un dessin pour plus de compréhension.
Limiter l’accès aux données
C’est la quatrième et dernière recommandation qu’on peut vous faire sur pour conserver les données sensibles.
- Ne les garder que si vous en avez vraiment besoin : si c’est pour étude à un instant T, supprimez la data dès que vous n’en faites plus usage.
- Ne partager ses informations qu’avec les personnes de votre équipe qui en ont vraiment besoin : en RGPD c’est le fait d’avoir un “Responsable de traitement”. Votre stagiaire en comm ou votre assistante admin n’ont en aucun cas besoin de pouvoir y accéder alors ne leur permettez pas.
Comment j’utilise la donnée ?
Outre le fait de limiter l’accès aux données, il va de soi que cette donnée n’est pas vendable aux tiers et ne doit en aucun cas être publiquement partagée.
C’est évident, mais c’est encore mieux quand c’est dit 😉
Enfin, vous devez absolument pouvoir supprimer immédiatement des infos sur un utilisateur à sa demande. Pour lui faciliter la vie et montrer votre bonne foi, créez une adresse mail dédiée ou inscrivez votre entreprise à des solutions spécialisées. La startup Mine par exemple permet de demander de manière automatisée la suppression de la data (c’est super même pour demander la suppression de votre propre data).
Pourquoi respecter la règlementation ?
J’espère qu’avec cet article vous aurez compris que ce n’est pas si compliqué que ça de gérer de la donnée sensible. En tout cas, de faire son maximum pour protéger ses utilisateurs de potentielles fuites d’informations.
Pour rappel, la CNIL à plusieurs moyens à sa dispo pour vous obliger à respecter la loi :
- Envoyer un rappel à l’ordre
- Poser une injonction de mise en conformité
- Limiter ou interdire le traitement de l’info
- Proposer des amendes
Vous pourriez bien choisir de remettre ce sujet à plus tard toutefois, vous mettre en conformité n’est pas si compliqué, on vous invite à faire les bons choix de gestion de la data dès le début.
Si vous avez des question n’hésitez pas à nous écrire sur les réseaux sociaux, ou bien directement par mail à hey@bimbojam.com.
Bon courage !
Tu as aimé l'article sur BImbojam ?
Rejoins-nous sur les réseaux pour plus de conseils, d'idées pour pimenter ta vie sexuelle et des reco de produits à tester ❤️
Tu peux aussi nous poser directement tes questions en messages privés sur les réseaux, on se fera un plaisir d'y répondre.
Vous avez aimé notre article sur BImbojam ?
Notre mission est d'aider les entrepreneur.e.s dans le milieu de la sexo et de l'intime à développer leur business !
Pour ce faire, on a créé une communauté Slack où l'on peut s'entraider et
on a aussi lancé notre offre SEO.
Au plaisir 😉
