La conformité au RGPD est un investissement, potentiellement significatif pour une petite entreprise, et elle doit être planifiée de manière rationnelle.
Pourquoi investir dans la conformité au RGPD?
Investir dans la conformité au RGPD est motivé par des besoins commerciaux plutôt que par la peur des amendes. De grands clients d'entreprise, des clients activistes ou des employés, des risques de violation ou des demandes abondantes poussent généralement les entreprises à réaliser un tel investissement. Les petites entreprises doivent identifier les parties qui pilotent leurs efforts de conformité, leur donner la priorité et se concentrer sur les aspects les plus critiques de la conformité pour maîtriser les coûts.
Où devriez-vous investir en premier?
Beaucoup de choses peuvent être faites pour se conformer au RGPD, mais en pratique, il faut généralement faire beaucoup moins, et dans un certain ordre. Le RGPD n'est pas une certification binaire, conforme ou non, comme beaucoup d'autres exigences de conformité. Le RGPD comporte de nombreuses zones grises, et les entreprises peuvent choisir le niveau de risques de non-conformité acceptés.
Par exemple, pensez à une entreprise qui sert plusieurs grands clients d'entreprise en tant que fournisseur (sous-traitant). Elle peut investir dans son Accord de Traitement des Données, des mesures de sécurité bien décrites, un support automatisé pour le traitement des demandes des personnes concernées, un inventaire des sous-traitants et des preuves de formation des employés, car ces aspects sont demandés par les départements de protection de la vie privée des clients. Elle peut être minimalement conforme sur d'autres aspects, comme avoir une politique de confidentialité de base sur le site Web, ou avoir des enregistrements grossièrement agrégés dans les registres des activités de traitement.
Activités en cours
En savoir plus
Comment rester conforme?
La conformité au RGPD est un processus continu et, après la configuration initiale, vous devrez la réviser périodiquement et l'ajuster, souvent annuellement.
Cela impliquerait également des activités opérationnelles pour gérer vos lacunes de conformité, les efforts de réduction des risques, effectuer des enregistrements de violations, des modifications de contrats et de fournisseurs, et répondre aux demandes des individus. Ces activités sont mieux soutenues par des outils appropriés, tels que PrivacyDocs.
Documentation
En savoir plus
Documents RGPD à conserver
Documenter la conformité au RGPD et conserver les preuves de conformité peut être plus important que la conformité elle-même. La plupart des exigences de conformité au RGPD se réfèrent à la documentation ou à des évaluations, décisions, avis, contrats documentés. Par exemple, ne pas informer les individus des périodes de conservation d'un traitement rend la situation non conforme (bien que cela ne soit pas immédiatement illégal).
Les entreprises sont tenues de maintenir la réalité du traitement des données personnelles par leurs systèmes et processus manuels en accord avec les promesses, avis, politiques, contrats et autres documents. Les individus peuvent vérifier cela par le biais de demandes de 'droit d'accès', où ils peuvent demander aux entreprises une copie des données que celles-ci traitent afin de valider la légitimité du traitement. Les entreprises qui traitent des données personnelles en tant que fournisseurs (agissant en tant que sous-traitants) doivent accorder à leurs clients (agissant en tant que responsables) le droit de les auditer.
Coûts
En savoir plus
Coûts de conformité
Documenter votre conformité au RGPD entraîne certains coûts, principalement en temps. Un modèle de coût typique est le suivant :
- Pic de configuration initiale
- Maintenance et amélioration de la conformité de manière simple. Pensez à un employé dédié ayant une journée RGPD une fois par mois.
- Préparation aux changements. Pensez au travail supplémentaire requis par le RGPD pour intégrer un nouveau fournisseur ou introduire un nouveau système.
- Répondre aux violations. Cela se produit de manière ad hoc (en effet, la plupart des violations ne sont pas planifiées à l'avance) et varie d'une heure de travail à une urgence à l'échelle de l'entreprise.
La plupart des petites entreprises ne se concentrent pas sur le traitement des données personnelles comme leur activité principale. Elles ne nécessitent pas d'investissements supplémentaires significatifs pour rester conformes au RGPD, généralement à hauteur de plusieurs heures-personnes par an.
Interne ou Externe
Tout le monde dans l'entreprise doit avoir une compréhension de base du RGPD, et un cours d'introduction de 1 à 2 heures est un investissement incontournable. Les employés responsables de la conformité au RGPD investiraient généralement plusieurs jours pour acquérir des connaissances opérationnelles de base sur le RGPD. Pour pouvoir évaluer et vérifier la conformité, un employé devrait consacrer des mois au RGPD.
Pour de nombreuses petites entreprises, il est judicieux d'investir dans la connaissance opérationnelle du RGPD pour un à deux employés et de ne pas investir dans le développement d'une expertise professionnelle en matière de conformité au RGPD en interne.
Un tel employé, soutenu par l'outil PrivacyDocs, peut effectuer 90 % des tâches de conformité ou plus. Un consultant externe spécialisé en RGPD ne serait alors nécessaire que pour apporter de la confiance dans l'état de conformité (pour examiner la documentation), répondre aux questions, réaliser des évaluations et aider en cas de violations de données personnelles.
PrivacyDocs
L'offre de PrivacyDocs est un outil spécifiquement destiné aux entreprises qui ont en interne une personne ayant des compétences opérationnelles de base en matière de RGPD. Cette personne, soutenue par l'outil spécialisé PrivacyDocs et l'aide occasionnelle de nos consultants RGPD, pourrait garantir la conformité. Cette configuration limiterait également les coûts de conformité, car les consultants externes ont tendance à être plus chers que le personnel interne et peuvent développer la conformité au RGPD à un niveau très détaillé.