RGPD : le coût de la conformité
Entré en application depuis 2018, le RGPD inquiète les responsables d'organismes de toute taille, associations comme entreprises privées. Si la conformité au RGPD renforce la structuration de votre système d'information, il n'en demeure pas moins que la démarche de mise en conformité RGPD ressemble au parcours du combattant. L'organisme se retrouve confronté à de nouvelles problématiques, et les résoudre peut lui coûter cher, tant au niveau des moyens humains qu’en termes financiers. Chez Blockproof, nos offres d'accompagnements sont transparentes et adaptées à vos besoins.
La mise en conformité RGPD gérée en interne est un coût
L’accumulation des étapes de la mise en conformité peut vite effrayer les entreprises ou associations. Entre la nécessité de mettre en place un registre des traitements de données, la mise à jour des contrats conclus avec les sous-traitants et la mise en place des procédures d’exercice des droits pour les personnes concernées, l'organisme se retrouve submergée de tâches relatives au RGPD.
Les démarches les plus pénibles sont certainement l’archivage et le tri des données ainsi que l’obligation de sensibilisation des salariés et des collaborateurs. Nommer un Délégué à la Protection des Données (DPO) est également une option, parfois obligatoire. Nommer un DPO est en effet sécurisant (et obligatoire dans certains cas), mais revient cher aux petites structures qui souhaitent intégrer dans leurs salariés une personne dédiée au RGPD (salaire avoisinant les 45K brut annuel hors charges patronales).
Le coût élevé des acteurs traditionnels (consultants et avocats)
Le business de la mise en conformité RGPD s’est développé ces dernières années. Nous assistons à l’apparition de nouvelles entreprises de consulting ou des avocats, offrant leurs services de DPO externes pour des prix souvent mirobolants.
Ainsi, les acteurs traditionnels (avocats, consultants) vous demanderont environ 900€ par jour pour une mise en conformité comprenant un audit, la cartographie des traitements, la mise à jour des contrats, et toutes les autres étapes d’une démarche de mise en conformité. A tout cela s’ajoutent 200€ par heure pour les parties juridiques (contrats, etc.), ainsi que les coûts liés à la mise à jour de la conformité, et aux correctifs mis en œuvre par l'organisme lui-même.
Les acteurs traditionnels (avocats, consultants) vous proposerons un tarif proche des 25 000€ selon la taille de l'organisme, ce qui peut devenir un problème dans le budget des Associations, TPE ou petites PME françaises.
Pour autant, la mise en conformité au RGPD est obligatoire, et le non-respect du règlement peut avoir des conséquences encore plus graves sur les organismes, et ce peu importe leur taille. Pour tout savoir sur les sanctions RGPD, recherchez #sanctions sur notre blog.
Les coûts cachés de la conformité RGPD
Chez Blockproof nous distinguons la mise en place de la conformité et le maintien de la conformité. En effet, la charge de travail est souvent importante au lancement du projet que durant son maintien dans le temps.
C'est pourquoi, il est important de s'assurer que votre prestataire RGPD externalisé vous propose un prix divisé en deux parties : un prix de mise en place (sur 12 mois généralement, hors grandes associations et grandes entreprises) et un prix pour le maintien de la conformité dans le temps.
La mise en place de la conformité : attention aux devis incomplets
La mise en place de la conformité intègre, au strict minimum, les éléments suivants :
- Cartographie des données et Registre des activités de traitement
- Nomination d'un DPO si obligatoire
- Mise à jour des contrats (prestataires, usagers, clients, salariés...)
- Création des procédures organisationnelles
- Réalisation d'analyses d'impact (PIA) si vous traitez des données sensibles
Assurez vous que ces étapes (a minima) soient bien intégrées dans le devis d'un prestataire externe, qu'il s'agisse de Blockproof ou d'un acteur traditionnel (avocat ou consultant). Concernant la nomination obligatoire ou facultative du DPO, nous vous recommandons notre article (dans la section blog) intitulé DPO RGPD : le guide ultime.
Si vous réalisez par vous-même la conformité, avec ou sans l'aide d'un accompagnement du DPO interne (cf. offres), gardez à l'esprit qu'il vous faudra franchir toutes ces étapes, peu importe la taille de votre organisme.
Le maintien de la conformité RGPD dans le temps : un coût complémentaire
La conformité RGPD est une démarche continue au sein de la votre organisme. Il n'y a pas de conformité "une fois et c'est terminée". Le RGPD et le respect de la vie privé par extension nécessite une attention régulière, au même titre qu'une démarche qualité.
Le suivi de la conformité RGPD dans le temps intègrera pour votre organisme les éléments suivants :
- Mise en pratique des nouveaux processus RGPD
- Sensibilisation des salariés
- Mises à jours (évolutions réglementaires, nouveaux prestataires, nouveaux contrats, etc.)
- Gestion des demandes internes ou externes
- Gestion des cas de violation de données et des éventuels cas de contrôle
- Audit annuel de la conformité
Pensez donc à prendre en considération ce point dans la définition de votre stratégie de conformité (interne ou externe) et l'identification de vos besoins (à court et moyen terme). Exemples : Est-ce que je dispose d'une ressource en interne disposée à traiter le sujet ? Dois-je prendre en considération un éventuel turnover de la personne disposant des compétences RGPD ? etc.
Quels sont les frais cachés "classiques" de la conformité RGPD ?
Les acteurs du RGPD vont traditionnellement proposer : la réalisation du Registre, un audit, une formation et un plan d'action. Ces éléments vont vous permettre d'avancer sur la conformité mais ne vous rendrons pas conforme selon les attentes de la CNIL. Le prix de la conformité implique plusieurs éléments.
Attention donc à analyser la profondeur de l'offre qui vous ait proposée car certains devis peuvent cachés des frais cachés à venir tels que :
- mise à jour des fiches d'activités sur le Registre
- rédaction des procédures organisationnelles
- mise à jour des contrats
- réalisation des analyses d'impact (PIA)
- privacy by design
- mise en conformité RGPD de votre site web
- etc.
A titre d'exemple, la réalisation d'une analyse d'impact (PIA) est une prestation généralement proposée à 3000 € HT (l'analyse). Pour exemple, une association dans le secteur médico-social de taille intermédiaire a généralement 1 à 3 analyses d'impact et une entreprise dans le secteur de la tech, peut monter jusqu'à 8 analyses d'impact.
Le RGPD peut donc inclure des frais cachés. Nous vous recommandons donc de faire attention à la profondeur de l'accompagnement proposé dans le devis.
La solution transparente de mise en conformité RGPD : Blockproof
Le manque de temps, la complexité, l'incertitude juridique et le prix des avocats/consultants sont aujourd'hui un frein à la protection des données personnelles.
Face à ces problèmes rencontrés sur le terrain, Blockproof vous propose une solution RGPD validée par plus de 400 établissements :
- pour offrir une mise en conformité abordable, selon la taille de votre structure
- avec une solution RGPD personnalisée, selon votre secteur d'activité et vos besoins opérationnels
- pour participer à la transformation digitale et faire des économies (réduction de charge, gestion des archives et cybersécurité)
- pour sécuriser juridiquement votre organisme et leurs parties prenantes (clients, usagers, salariés, utilisateurs)