Les coûts de conformité peuvent être largement répartis en trois catégories : établir la conformité, conformité opérationnelle et gestion des risques.
Établir la conformité
Trouver une personne
Quelqu'un doit s'occuper des tâches liées au RGPD. Cela peut être vous ou quelqu'un d'autre. Vous ou un employé interne devrez passer pas mal de temps à comprendre la conformité au RGPD à un niveau de base. C'est similaire à d'autres systèmes de conformité et de certification. Vous pouvez être un expert dans les domaines, mais vous devrez passer du temps à examiner les documents spécifiques qui doivent être mis en place.
Il est souvent moins coûteux d'engager un consultant externe plutôt que de développer une expertise approfondie en interne. La plupart des petites et moyennes entreprises ont besoin de quelques jours d'un spécialiste RGPD pour établir la conformité et de quelques heures par an pour la maintenir. Un spécialiste formé en interne passerait beaucoup plus de temps à acquérir cette compétence et aurait continuellement besoin de temps pour la maintenir.
Établissement de l'inventaire des activités de traitement
Les coûts sont déterminés par la diversité des activités de traitement des données personnelles que votre entreprise effectue. Vous devez découvrir toutes les activités (parties des systèmes informatiques ou processus manuels) qui impliquent des données personnelles et créer un inventaire. Cet inventaire est appelé 'Registre des activités de traitement des données personnelles' et la plupart des entreprises doivent en tenir un.
La quantité et le niveau de granularité de ces activités varient. Voici quelques indicateurs :
- Site web simple : 3 à 5 activités (exploitation du site web, sauvegardes et sécurité, cookies, composants tiers).
- Marketing : 3-5 (base de données clients ou prospects, liste de diffusion, une ou deux campagnes spécifiques)
- Ventes : 1-3 (traitement des commandes, livraison ou exécution des commandes, retours)
- Support client : 1-2 (base de données de support, réception des demandes)
- Ressources humaines et emploi : 1-5 (dossiers RH, recrutement, licenciement, promotion, paie). Ils sont souvent combinés et (partiellement) externalisés.
- Processus métier : varie, 1 par flux automatisé que vous exploitez
Une petite entreprise employant quelques personnes devrait généralement enregistrer 10 à 20 activités de traitement. Une entreprise plus grande aurait besoin d'un peu plus. En choisissant votre abonnement PrivacyDocs, vous pouvez commencer avec le plan 'petite entreprise' le moins cher, qui convient à la plupart des petites et moyennes entreprises. Vous resterez probablement dans ses limites pour la première année de votre travail sur le RGPD et pourrez passer au plan 'moyenne entreprise' plus grand si nécessaire.
Coûts de chaque registre des activités de traitement
Chaque activité de traitement nécessite un enregistrement dans les Registres des Activités de Traitement des Données Personnelles. Cela coûte ce qui suit :
- 1 heure pour découvrir une activité de traitement (pensez à parler à votre équipe informatique ou marketing pour comprendre ce qui se passe réellement)
- 4 heures pour rédiger le premier rapport (pensez à un entretien d'une heure avec vous, quelqu'un qui connaît le traitement et quelqu'un qui est responsable du traitement) et 1 heure pour le mettre en place et l'écrire
- 1 à 4 heures pour les suivis (recherche de détails manquants, contrats pertinents, avis présentés aux personnes concernées, etc.)
Pensez à deux activités par jour, car pour les petites entreprises, certains de ces processus peuvent être plus rapides que pour les grandes entreprises.
Coûts des évaluations
Lors de la constitution de l'inventaire, vous pourriez réaliser qu'une activité nécessite une évaluation supplémentaire : Évaluation d'impact sur la protection des données (AIPD) pour les opérations à risque, Évaluation de l'intérêt légitime (EIL) pour les activités qui reposent sur votre intérêt légitime en tant qu'entreprise, et Évaluation d'impact sur le transfert (TIA) si vous utilisez des systèmes opérés par des fournisseurs non-UE (et dans quelques pays qui offrent une protection adéquate)
Ce sont des documents volumineux et peuvent nécessiter de 1 à 5 jours pour être complétés.
Conformité Opérationnelle
La conformité opérationnelle au RGPD nécessite un effort moindre, en particulier pour les entreprises qui ne changent pas beaucoup.
Mettre à jour les Registres des Activités de Traitement
Selon le RGPD, les enregistrements doivent être mis à jour avant tout changement dans le traitement et périodiquement. Un examen annuel est souvent suffisant pour les processus qui ne devraient pas changer (comme la plupart des processus administratifs).
1 à 3 heures-personnes sont souvent suffisantes par traitement. Vous pouvez vous attendre à parler réellement et à obtenir des détails supplémentaires lors de la première révision, et simplement envoyer les e-mails annuels 'est-ce toujours la même chose ?' les années suivantes.
Enregistrer les violations
Lorsque des personnes commettent des erreurs ou que vos systèmes sont piratés, vous devez enregistrer les violations de données personnelles dans un registre interne (partie de la suite PrivacyDocs). Chaque enregistrement de violation comprend trois parties :
- Enregistrement (1 heure d'un expert en protection de la vie privée et 1 heure d'un expert en domaine)
- Évaluation des risques (1 heure d'un expert en protection des données et 1 heure d'un expert du domaine)
- Mesures d'atténuation proposées (varient)
- Signalez à l'autorité de protection des données et aux personnes concernées si la violation présente un risque plus élevé qui n'est pas contenu (4-20 heures).
La plupart des violations (comme saisir un destinataire d'e-mail incorrect) nécessitent moins de 4 heures pour être documentées.
Répondre aux demandes des personnes concernées
Les demandes des personnes concernées (telles que les demandes d'informations stockées sur un certain individu ou les demandes d'effacement) sont souvent satisfaites par le spécialiste de la protection des données, médiées par le département juridique. Les coûts de réponse varient avec un minimum d'une heure.
Gérer les risques
Les évaluations des risques peuvent mettre en évidence les risques qui doivent être atténués en modifiant les processus ou en mettant à jour la documentation. Les coûts associés à la gestion des risques et à l'atténuation des risques peuvent être les plus élevés. Certaines entreprises s'appuient sur des systèmes informatiques ou des processus commerciaux qui ne sont pas conformes et nécessitent des changements significatifs pour devenir conformes.
En pratique, la gestion des risques n'est pas coûteuse pour la plupart des entreprises qui ne reposent pas sur le traitement des données personnelles comme cœur de leur activité.
Obtenir de l'aide
Faire appel à un service professionnel, tel que le service de conseil GDPR de PrivacyDocs, est souvent le moyen le plus rentable d'atteindre et de maintenir la conformité au RGPD. Il est important de concentrer et de diriger vos consultants sur les aspects de conformité au RGPD que vous devez vraiment avoir. Il existe de nombreux aspects qui sont agréables à avoir mais qui constituent des risques de non-conformité acceptables s'ils sont absents.