Synthèse de retour d’expérience de mise en conformité RGPD pour des TPE et de « petites » PME. Combien ça coûte ?

Je publiais, il y a trois mois, sur un post à propos du RGPD, le commentaire suivant : «Avant de vous en faire une montagne, évaluez ce qu’il y a à gravir. ».

Pourquoi ces TPE se sont décidées à s’y mettre au RGPD ?

Toutes les TPE qui m’ont confié un mission d’accompagnement sur une mise en conformité au RGPD l’ont décidé :

• soit sur une sollicitation d’un de leurs clients (80%), souvent leur service achat en BtoB; 
• soit sur une crainte vis à vis d’un ancien salarié avec lequel des difficultés avaient été rencontrées;
• soit par le bouche à oreilles, des rencontres CCI ou organisations professionnelles
• soit parce qu’ils ont rencontré un dirigeant qui s’est mis en conformité et qui les a convaincu de l’intérêt au moins à connaître les marches à gravir

Quelles sont les actions menées?

Sans surprise:

• Dispenser une sensibilisation à l'ensemble de ses personnels
• Analyser l’ensemble des traitements 
• Analyser le niveau de sécurisation des données dans l'entreprise
• Vérifier et contrôler les contenus des archives papiers et numériques
• Vérifier et contrôler la conformité de leur site WEB
• Décider des évolutions à mener pour tous ces points, le cas échéant
• Réaliser les évolutions

Quels sont les documents remis ?

• Fiche synthèse de la sensibilisation au personnel
• Les textes et rubriques à faire figurer sur leur site WEB
• Le Registre des traitements
• Des courriers aux clients le cas échéant
• Un courrier à leur cabinet comptable, aspects RH
• Les engagements à faire figurer dans les devis et/ou les CVG
• Les mails/courriers à envoyer pour le consentement ou d’autres manières de s'y prendre notamment en BtoB
• Les éléments à présenter aux salariés afin de recueillir leur consentement (photo par exemple)
• ...

Premier constat généralisé : l’effet ransomware

Toutes ces entreprises ont réagi au niveau de leurs architectures suite aux attaques du type ransonware. Toutes se sont équipées de solutions d’archivage sécurisé, Firewall etc …. Certaines ont mis en place de véritables solutions de Plan de Reprise d’Activité et pour une d’entre elle un véritable Plan de Continuité d’Activité et une classification des données exemplaire (même si elle n’utilise pas ces termes).

Autant dire que les marches à gravir pour satisfaire les exigences cybersécurité du RGPD ont été simples et ont consisté pour la grande majorité à s'astreindre à un simple suivi quotidien des logs des outils mis en place.

Second constat généralisé : la sous-traitance des aspects RH

Une lettre a été adressée à l’entreprise sous-traitante (cabinet comptable dans 100 % des cas) pour connaître les dispositions prises par ce dernier afin de respecter le RGPD. A noter qu’à date, seulement 50 % d’entre elles ont reçues des réponses.

Troisième constat généralisé: RH archives

La conservation dans leurs locaux de documents RH, sous forme papier ou numérique, d’éléments RH qui ne sont pas utiles.

Quatrième constat généralisé : un site WEB à compléter au delà du RGPD

Peu compliqué à traiter mais des avertissements et des rubriques à ajouter qui ne concernent pas que le RGPD ,... Mentions légales etc ...

Cinquième constat généralisé : des annuaires en veux tu en voilà

Beaucoup d'états d'âme au début… mais grand nettoyage au final. Des campagnes de consentement avec des taux de retour très élevés. Des cas particuliers dans le domaine du BtoB.

Quelques cas particuliers

Pas de nomination de DPO nécessaire pour les cas traités.

Pour les entreprises traitant des données de personnels d’autres entreprises, mise en place de mécanisme d’anonymisation en attendant des évolutions coté client.

Le rex des coûts

Entre 2 500 € et 8000 € toutes sujétions comprises, dont 50 % de cash-out en moyenne.