Les économies qui peuvent être réalisées sur la prestation vont principalement découler de la possibilité de réutiliser des process qui sont déjà en place chez les consultants. Attention cependant, car il faut que ces process aient été bien structurés et cadrés par une expertise juridique. Ce point est essentiel, car certains consultants IT réalisent des prestations qui ne sont pas toujours utiles d’un point de vue de la réduction des risques juridiques faute d’expertise.
L’expérience des consultants est donc importante, et c’est elle qui va être génératrice de réduction de risques, autant que d’économies financières. Plus un consultant pourra réutiliser des outils développés durant leur pratique professionnelle, plus l’organisation pourra réduire ses coûts de conformité et éliminer ses risques de manière pratique.
Les tâches que le DPO externe doit réaliser
Lorsqu’une organisation part de zéro pour se mettre en conformité au regard du RGPD, nous avons 5 types de tâches majeures qui doivent être réalisées :
- Construire le registre des activités de traitement de l’organisation
- Auditer la conformité de chaque activité de traitement
- Auditer la conformité des sous-traitants - et assurer leur remplacement pour ceux qui ne seront pas conformes
- Auditer les points de collecte de données personnelles (formulaires web, etc.)
- S’assurer de la mise en place des mesures minimales de sécurité informatique dans l’organisation
1. La construction du registre
Concernant la création du registre, de nombreux outils existent aujourd’hui qui permettent une automatisation de ces tâches (tels que Legiscope par exemple). Le temps de création du registre ne devrait pour une entreprise de 300 personnes avec 40 fiches registre ne devrait donc pas dépasser la 1/2 journée (rédaction de toutes les fiches comprises qui sont aujourd’hui réalisées grâce à l’IA).
Temps nécessaire : 1/2 journée
2. L’audit de conformité des activités de traitement
L’audit de la conformité de chaque activité de traitement est vraiment le coeur du travail à faire, il faut pour cela vérifier que le site web est conforme, que le CRM est conforme, que les données RH sont collectées conformément aux prescriptions du RGPD. Il est nécessaire pour cela de commencer par une qualification des risques, et ensuite travailler en premier sur les fiches qui posent le plus de risque. Le temps à passer sur ces tâches dépend évidemment des activités de traitement de l’entreprise et des risques existants.
Temps nécessaire : 3-10 jours en fonction du nombre d’activités de traitement
Voici un aperçu du travail à mener par exemple :
3. La gestion de la conformité des sous-traitants
Pour protéger les données personnelles traitées, le RGPD a imposé de suivre toute la chaîne de traitement des données, et donc en particulier de suivre les sous-traitants qui vont intervenir sur les données personnelles. Par exemple si l’entreprise fait appel à un cabinet comptable pour la gestion des factures, celui-ci sera qualifié de sous-traitant et devra s’assurer de certaines obligations au titre du RGPD qui sont imposées par l’article 28 (qui impose un contrat spécifique entre lui et l’entreprise au titre de la question des données personnelles).
Le travail consiste ici à veiller que l’entreprise ne recourt qu’à des sous-traitants qui offrent des garanties suffisantes en termes de conformité RGPD - et par voie de conséquence supprimer les sous-traitants qui ne sont pas en mesure d’assurer une protection suffisante. Le RGPD régule très spécifiquement ces aspects. Le cas échéant le consultant doit être en mesure de recenser et d’auditer rapidement les sous-traitants et proposer des solutions alternatives.
Temps nécessaire : 1-3 jours en fonction du nombre de sous-traitants
4. L’audit des points de collecte de données personnelles
La collecte de données personnelles fait également partie des points de risque à gérer - notamment avec le consentement. Le DPO externalisé doit ici s’assurer de :
- La présence des mentions d’information obligatoires (identité du responsable de traitement, finalités, droits des personnes, etc.)
- Le recueil du consentement lorsque nécessaire (cases à cocher, etc.)
- La sécurité des données collectées (chiffrement des transmissions, protection contre les accès non autorisés…)
- La durée de conservation des données et leur suppression effective
Le consultant devra passer en revue tous les formulaires et autres points de collecte du site web et des applications de l’entreprise. C’est un travail qui peut s’avérer chronophage s’il y a de nombreux formulaires à auditer. Il faudra prévoir au moins une demi-journée, voire plusieurs jours selon la taille du site et le nombre d’applications.
Temps nécessaire : 1-2 jours en fonction du nombre de points de collecte de données
5. La mise en place des mesures de sécurité informatique
Enfin, concernant l’audit des mesures de sécurité, le DPO externalisé devra s’assurer que l’entreprise a mis en place les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, comme l’exige l’article 32 du RGPD. Cela implique de vérifier notamment :
- La politique de mots de passe robustes
- La mise à jour régulière des systèmes et logiciels
- Le chiffrement des données sensibles
- La traçabilité des accès aux données
- L’existence d’une procédure de notification des violations de données
- La sensibilisation et la formation du personnel
Là encore, selon la taille et la maturité de l’entreprise en termes de sécurité informatique, cette phase d’audit peut nécessiter plusieurs jours, avec la mobilisation de ressources IT en interne. Le consultant devra sans doute préconiser un certain nombre d’actions correctives et d’améliorations.
Temps nécessaire : 2 jours
Conclusion
Au final, on voit que la prestation d’un DPO externalisé pour une première mise en conformité RGPD complète peut vite représenter un budget conséquent, de l’ordre de 5 à 20 jours selon la taille et la complexité de l’entreprise. D’où l’importance de bien cadrer la mission en amont et de choisir un prestataire expérimenté qui saura optimiser le temps passé.
Il faut aussi garder à l’esprit qu’au-delà de cette mise en conformité initiale, le DPO externalisé devra assurer dans la durée un certain nombre de tâches récurrentes :
- Tenir à jour le registre des traitements
- Analyser la conformité des nouveaux projets impliquant des données personnelles
- Contrôler régulièrement l’application des mesures
- Sensibiliser et former les collaborateurs
- Être l’interlocuteur des personnes concernées sur leurs droits
- Coopérer avec l’autorité de contrôle
Cela implique souvent un forfait à ajuster selon le contexte et les besoins de l’entreprise. Un budget à bien prendre en compte dans le coût global d’un DPO externalisé.
En conclusion, externaliser sa fonction de DPO permet de s’appuyer sur l’expertise d’un professionnel de la protection des données, pour un coût souvent inférieur à un recrutement interne. Mais pour optimiser le budget, mieux vaut privilégier un prestataire expérimenté qui a développé une méthodologie et des outils efficaces. L’enjeu est de trouver le bon équilibre entre le niveau d’expertise, la qualité de la prestation et le budget.
