Le coût du RGPD : amende, audit, mise en conformité

Le coût du RGPD : amende, audit, mise en conformité

Le coût du RGPD, de l’audit à la mise en conformité, de quoi s’agit-il, pourquoi s’en occuper et combien cela coûte-t-il ?  ValorConseil PACA définit les termes et les actions à mener pour que toute entreprise, et tout professionnel se mette en quête de cette conformité à la loi rendue officielle et applicable le 25 Mai 2018.

RGPD signifie Règlement Général Protection des Données. Le coût du RGPD, c’est le coût d’appliquer une loi. Une loi qui parle de données personnelles. Cela concerne toutes les entreprises, collectivités, professions libérales y compris les artisans, autoentrepreneurs, etc. Tous ces professionnels qui exercent sur le sol européen. Cela concerne aussi les multinationales à partir du moment où elles ont des bureaux déclarés dans un ou plusieurs pays d’Europe.

Que risquent les professionnels à ne pas appliquer cette loi ?

En premier lieu, le coût du RGPD, ce peut être le risque de subir une amende. C’est la bonne vieille méthode en cas de manquement à la loi. Bien sûr, cette loi se veut exemplaire : jusqu’à 20 millions d’euros et jusqu’à 4% du chiffre d’affaires annuel mondial pour les plus grosses entreprises. Pour exemple, une agence immobilière a eu une amende de 400.000 euros. Pourquoi ? Pour ne pas protéger suffisamment des dossiers de locataires sur leur site Internet. Google s’est vu infliger une amende 50 Millions d’euros en Janvier pour un manquement aux principes de base du RGPD.

205 millions d’amende pour British Airways

Coût du RGPD : combien pour un audit RGPD ?

Un office HLM une amende de 250.000 euros également pour des problèmes de dossiers sur les locataires. Au Royaume Uni, British Airways vient de se voir infliger une amende de 205 Millions d’euros. Ceci pour une fuite de données personnelles contenant toutes les données de cartes bancaires de ses clients…

Qu’est-ce que sont finalement les données personnelles ?

Les données personnelles, c’est toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »  Article 4 alinéa 1 du RGPD (page L119/33)

Coût du RGPD pour appliquer cette loi ?

Il faut que les entreprises commencent par faire un audit RGPD ou qu’elles le fassent faire par un spécialiste. Cet audit RGPD va nécessiter d’analyser et cataloguer toutes les données personnelles détenues directement ou indirectement par le professionnel. C’est-à-dire que cela concerne autant les informations sur papier que stockées et utilisées en informatique et sur Internet. C’est ce que l’on appelle la phase de découverte.

Le Coût du RGPD : amende, audit RGPD, mise en conformité RGPD

Que peut-on alors découvrir ?

Pendant la phase de découverte, on peut bien souvent découvrir des données personnelles un peu partout. Pour commencer, il y a des données personnelles dans le service qui gère le personnel, cela va du contrat de travail à la carte de séjour, la pièce d’identité, les fiches de paie, les CV, numéro de sécurité sociale, etc. Dans certains cas, les recruteurs vont faire des photos de documents personnels d’employés ou de futurs employés sur leur smartphone. Leur smartphone n’étant pas forcément uniquement professionnel.

Des fichiers excel, des clés USB, des consentements non prouvés…

On va découvrir des fichiers Excel, véritables bases de données de contacts pris çà et là sur Internet sans qu’il y ait eu consentement des personnes quant à un usage particulier de leurs informations personnelles : là, c’est parmi les pires cas de manquement car c’est une des bases du RGPD d’obtenir un consentement clair. Dans cette phase de découverte on va trouver les reçus papier « commerçant » de paiement par carte bancaire des clients sur lesquels les numéros de carte et autres informations sont complètes et en clair, contrairement au reçu client. On va trouver des clés USB à droite et à gauche utilisées par n’importe qui pour se passer des fichiers contenant moulte informations personnelles.

Découvrir pour faire le tri, organiser, …

Découvrir pour faire le tri, organiser, c’est le but de cette loi RGPD ! Arrêter de traiter n’importe comment ces informations, qu’elles soient bien identifiées. D’une pour qu’elles soient classifiées par degré de sensibilité. De deux, pour qu’on leur applique une sécurisation adaptée et un emploi à juste titre.

Il est par exemple interdit de collecter des données non nécessaires pour le traitement envisagé. Et inutile de trouver le faux prétexte de dire : « oui mais j’ai prévu de faire cela dans 6 mois et j’aurai besoin de cette information… ».  C’est interdit. Point.

Des données sensibles à manier avec précaution

Les données sensibles au sens de la loi concernent les opinions philosophiques, politiques, religieuses, syndicales, la vie sexuelle. Cela concerne également les données relatives à la santé, les origine raciales ou ethniques, les données biométriques. Ne pas oublier les infractions, les condamnations (extrait casier judiciaire), les mesures de sécurité/sûreté. Et évidemment il y a tout ce qui concerne les revenus, les impôts, les comptes bancaires… Et toute la finance en général.

Concrètement, que doit-on faire ?

Ce qu’il faut, c’est appliquer le RGPD partout où il y a des données personnelles gérées. La phase de découverte sert à cartographier tout cela. Le début de la mise en conformité consiste à remplir un registre. Il détaille tous les traitements des données personnelles identifiées, qui sont les responsables, etc. Cela inclut la responsabilité des co-traitants, sous-traitants, partenaires, etc.

Coût du RGPD : combien pour un audit RGPD?

Le coût du RGPD englobe le prix de l’audit RGPD et de la mise en conformaité. Un audit RGPD lorsqu’il est fait par un consultant professionnel varie en fonction de la taille de l’entreprise. En moyenne sur une toute Petite TPE, cela commence autour de 1000 euros, un peu moins ou un peu plus en fonction de l’activité avec un rapport d’audit permettant de clairement savoir ce qu’il faut faire pour résoudre les problèmes. Pour une PME jusqu’à 50 employés, on va tourner autour des 4000 euros.  Pour une PME jusqu’à 300 employés on peut dépasser les 10.000 euros.

Une mise en conformité dont le prix varie

Nous ne parlons pas de la mise en conformité elle-même qu’il n’est pas possible de chiffrer sans avoir fait un audit au préalable. Ce point est très variable en fonction de l’activité et des moyens utilisés pour l’exercer. Il y a aussi des formations professionnelles de délégué à la protection des données. Elles permettent de commencer à mettre soi-même en place le début de mise en conformité. Ces formations pouvant être tout ou partie remboursées par les OPCO anciennement appelés OPCA.

 

Pour être contacté rapidement :

 

Envie de partager ?
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email