Avec la mise en conformité au RGPD, quel Budget DPO pour l’organisme ?
budget dpo et rgpd
Le Règlement Général sur la Protection des Données – RGPD – fait beaucoup parler depuis 2018. Les organismes veulent bien se mettre en conformité, mais à quel prix ? Encore une nouvelle obligation qui va générer des dépenses non prévues dans les budgets prévisionnels. Pour éviter de naviguer à vue, voici une liste des postes à anticiper pour la mise en conformité RGPD.
La formation du personnel
La première étape dans la mise en conformité est le coût lié à la formation des salariés pour les sensibiliser aux enjeux de cette nouvelle obligation, aux bonnes pratiques à adopter dans leur quotidien professionnel, et aussi l’importance de respecter les process mis en place.
La sensibilisation peut s’articuler sous différents formats : e-learning avec des sessions de 20 à 30 minutes – plateforme de Digital Learning standard ou personnalisée, des sessions en présentiel animées par le Délégué à la Protection des Données – DPD / DPO – ou un formateur externe, des livres blancs, des notes internes … En fonction du format choisi, les prix sont très aléatoires.
En plus de la sensibilisation du personnel, il faut prévoir une formation plus pointue pour le Délégué à la Protection des Données ou le Référent RGPD en interne de l’organisme. Les formations les plus courantes varient de 3 à 5 jours, pour un budget de 1 500 € à plus de 3 000 € pour les formations préparant à la certification du DPO.
L’audit de conformité RGPD
Lors du lancement du projet de mise en conformité RGPD d’un organisme, il est important de faire un état de lieux de l’existant. Cela consiste à faire le tour des services afin d’identifier tous les traitements réalisés par service. A l’issu de cet audit, l’organisme est en mesure de mettre en place une cartographie des traitements, pour faciliter la rédaction du registre des traitements.
Également, l’objectif de l’audit de conformité est de préparer un plan d’actions correctives afin d’estimer le budget RGPD correspondant, en fonction des conclusions. En règle générale, un audit de conformité RGPD varie de 2 à 10 jours homme en fonction de la taille de l’organisme. Ce temps englobe les temps d’échange sur site, l’analyse par les consultants RGPD ou le DPD / DPO interne, la mise en place du plan d’actions et la réalisation de la cartographie des traitements.
En plus du coût de prestation de l’audit, il faut ajouter au budget RGPD des coûts cachés comme le temps passé par les salariés lors des échanges sur site.
La mise en place du plan d’actions
En fonction des priorités identifiées sur le plan d’actions suite à l’audit de conformité RGPD, le temps alloué à cette étape, et donc le budget RGPD afférent, est beaucoup plus délicat à estimer. En effet, certains organismes sont plus avancés que d’autres, et nécessitent moins d’ajustements. A contrario, d’autres structures peuvent avoir un panorama de mise en conformité beaucoup plus large.
Les correctifs peuvent concerner la mise à jour des documents contractuels. Cela peut nécessiter la consultation d’un cabinet d’avocat, dont le cout horaire peut varier de 100 à 300 € de l’heure en fonction de la zone géographique.
Les correctifs peuvent concerner un renforcement de la sécurité des systèmes d’information. Cela peut nécessiter l’intervention d’un prestataire spécialité en cybersécurité ou votre prestataire informatique, dont le coût jour varie de 600 à 900 €, en fonction de la thématique abordée. En plus, il est parfois primordial de mettre à jour des logiciels ou de revoir l’intégration des systèmes d’information.
Les correctifs peuvent concerner la mise en place de procédures RGPD, de documentations spécifiques, de vérification de la conformité des sous-traitant, de la réalisation d’une analyse d’impact ou autres. Cela peut nécessiter l’intervention d’un consultant RGPD ou d’un DPO externe, dont le coût jour varie de 750 à 950 €.
Enfin, il faut prendre en compte également la mobilisation du personnel qui devra relire et valider tous les livrables de vos conseils. Et cette variable dépend de la masse salariale des collaborateurs mobilisés.
La veille et le maintien de la conformité RGPD
Et comme la conformité RGPD n’est pas une fin en soi. Aucune structure ne peut prétendre être 100% conforme RGPD. Donc, il est très important de réaliser une veille juridique en continue et de s’assurer du maintien de la conformité, et de prévoir cette ligne dans son budget RGPD.
Cette dernière étape est souvent la dernière roue du carrosse, par manque de temps ou manque d’expertise. C’est pourquoi, il est souvent préférable de se faire accompagner par une agence spécialisée dans le domaine de la protection des données … comme on se fait accompagner par un expert-comptable ou un avocat en droit social.