Depuis 2018, le RGPD oblige les entités publiques et privées à renforcer leur politique de protection des données personnelles. Désignation d’un DPO, création et tenue d’un registre de traitements, formation des collaborateurs… Pour garantir leur conformité, certains organismes sont tenus de respecter un certain nombre d’obligations. Face à ces exigences, il peut alors être difficile pour les organisations de chiffrer le budget nécessaire pour assurer leur conformité RGPD – d’autant plus que ces coûts sont bien souvent difficiles à évaluer.
Conformité RGPD : un investissement nécessaire
Le RGPD (Règlement Général sur la Protection des Données) vise à encadrer le traitement des données personnelles au niveau de l’Union Européenne. Il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978, avec pour ambition de suivre les évolutions technologiques et de renforcer la confiance des utilisateurs quant au traitement de leurs données personnelles.
Lire aussi – RGPD : quelles obligations s’appliquent à qui ?
Pour les organisations, la mise en conformité RGPD présente des intérêts non négligeables :
- Prévenir les risques de vols ou de pertes de données : alors que le nombre d’intrusions dans les systèmes informatiques ne cesse d’augmenter (environ 3 cyberattaques par jour, TPE, PME et ETI confondues), le RGPD permet de prendre des mesures solides pour sécuriser ses actifs.
- Éviter les sanctions : la Commission Nationale de l’Informatique et des Libertés (CNIL) est tenue de faire respecter le RGPD, et, le cas échéant, de sanctionner les violations à la réglementation. Ces sanctions peuvent s’avérer particulièrement coûteuses selon les manquements identifiés, pouvant aller jusqu’à 20 millions d’euros d’amende ou 4 % du CA annuel d’une entreprise. Rester en conformité permet ainsi aux organismes d’éviter des pertes financières conséquentes.
- Préserver son image de marque : pour les entreprises concernées, les clients sont sensibles à la protection de leurs données personnelles. Si un organisme manque de vigilance, ils auront tendance à se tourner vers des concurrents plus respectueux, lui faisant ainsi perdre en notoriété et en attractivité. Notons également qu’en cas de fusion ou de cession, une non-conformité peut diminuer la valorisation de la société.
Face à ces risques, garantir sa conformité RGPD fait donc office de nécessité pour les organismes traitant des données à caractère personnel.
Budget RGPD : un coût difficile à estimer
Assurer une protection des données personnelles sans faille et garantir une parfaite conformité au RGPD peut représenter un chantier de taille, d’autant plus qu’il est difficile d’évaluer le budget total que doit y consacrer une entité. En effet, plusieurs éléments sont à prendre en compte, tels que le secteur d’activité, la taille de la société, le domaine d’expertise… Cependant, on peut distinguer deux types de budget : les coûts ponctuels permettant la mise en conformité de l’organisme à un instant T, et les investissements permanents qui garantissent le maintien de la conformité RGPD sur le long terme.
Un budget ponctuel de mise en conformité
L’audit
Une mise en conformité RGPD débute toujours par un audit. Pour cela, il est nécessaire de choisir les prestataires capables d’établir un état des lieux complet de la situation, de détecter les zones de risques et d’identifier les actions à mettre en place. Les prix peuvent dépendre des spécificités de l’organisme concerné, de sa taille ou du volume de données traitées. Chez Dposytem by Netsystem, un audit peut durer en moyenne entre 3 et 6 jours, pour un coût pouvant varier entre 3000 et 7000 euros.
La sensibilisation et la formation des collaborateurs
Toute personne chargée du traitement de données à caractère personnel doit être sensibilisée aux enjeux réels du RGPD. En effet, pour assurer votre conformité RGPD, il est crucial que l’ensemble de vos collaborateurs respectent certaines procédures. Cette disposition permet notamment d’éviter les erreurs humaines susceptibles de compromettre la conformité de votre organisation.
Note d’information interne, réunion par service, webinar ou e-learning… Au-delà de ces solutions peu coûteuses, il est souvent nécessaire de planifier des formations en présentiel pour aborder l’ensemble des thématiques (respect des droits de la personne, sécurité des données, tri dans le recueil de données, gestion des données des collaborateurs…). Encore une fois, le budget dédié à la formation de vos collaborateurs peut varier, notamment en fonction du nombre d’acteurs impliqués et de leur degré de maturité.
Néanmoins, il est nécessaire de prévoir un budget pour :
- La formation des acteurs impliqués dans le traitement des données ;
- La réalisation de supports explicitant les bonnes pratiques.
Aujourd’hui, le budget formation des entreprises représente en moyenne 2% du budget annuel total. La sensibilisation au RGPD des collaborateurs doit s’inscrire dans cette enveloppe et dans les parcours de formation proposés par l’employeur ; au même titre que les sensibilisations en cyber sécurité et au phishing.
Des investissements pour garantir la mise en conformité sur le long terme
Externalisation du DPO
Le DPO (Data Protection Officer), appelé aussi Délégué à la Protection des Données, est la personne qui veille à l’application de la conformité du traitement des données personnelles. Elle est désignée par le Responsable de traitement de l’entreprise (personne physique ou morale, autorité ou service qui détermine les finalités et les moyens mis en œuvre pour le RGPD).
Quant aux missions de ce dernier, elles sont variées :
- Informer et conseiller l’entité en matière d’obligations et de protection des données personnelles,
- Veiller au respect du RGPD en sensibilisant et formant les équipes aux bonnes pratiques,
- Coopérer avec l’autorité de contrôle.
Le DPO peut être une personne interne ou externe à l’entreprise. Le deuxième cas de figure est généralement recommandé car il présente plusieurs avantages : absence de conflit d’intérêts et totale indépendance du DPO, réelle expertise et missions cadrées en amont. Chez Dposystem by Netsystem, le coût d’une prestation de DPO externalisé représente en moyenne 1500 euros par mois. Cependant, opter pour un délégué à la protection des données externe se révèle souvent plus économique qu’une embauche à plein temps pour cette fonction.
Lire aussi – DPO externalisé : quels avantages ?
Assistance et conseils d’experts
Les organismes qui en éprouvent le besoin peuvent également bénéficier d’une expertise professionnelle et sur-mesure au niveau RGPD. Les tarifs des prestations changent en fonction de l’activité de l’entreprise, de sa taille et de sa maturité en matière de conformité.
Dposystem : une mise en conformité pérenne pour un budget sur-mesure
Pour vous accompagner dans votre mise en conformité, Dposystem by Netsystem propose des offres de gouvernance et/ou d’actions opérationnelles :
- Audit RGPD : notre équipe réalise un diagnostic de votre conformité et un plan d’action détaillé pour une mise en conformité au RGPD cohérente avec votre organisation.
- Support au DPO : nous mettons à votre disposition une équipe de consultants experts pour soutenir le délégué à la protection des données dans ses missions.
- DPO externalisé : les missions du DPO sont totalement déléguées à nos experts de la mise en conformité au RGPD, au niveau technique, juridique et organisationnel.
- Conseils et formations : grâce à nos formations modulables, nous vous aidons à prendre les meilleures décisions et sensibiliser vos équipes afin de garantir votre conformité.
En fonction de vos besoins, Dposystem by Netsystem vous accompagne à chaque étape de votre mise en conformité, et même au-delà pour rester en conformité avec la réglementation. Grâce à une expertise pointue – à la fois technique, juridique et organisationnelle –, nous vous garantissons une montée en compétences en matière de protection des données. Pour en savoir plus sur nos offres, contactez-nous dès maintenant !
