Le DPO (ou Délégué à la Protection des Données) est un métier qui a vu le jour avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018. Le DPO est chargé de veiller à ce que l’entreprise respecte les obligations légales en matière de protection des données personnelles de ses clients, employés et partenaires. Il est également chargé d’informer et de conseiller l’entreprise en matière de protection des données, ainsi que de coopérer avec les autorités de contrôle.
Le DPO peut être nommé en interne, c’est-à-dire être un salarié de l’entreprise. Dans ce cas, il conserve généralement sa rémunération antérieure. Cependant, il est également possible de recourir à un DPO externalisé, c’est-à-dire un DPO fourni par une entreprise spécialisée. Dans ce cas, le coût de la prestation dépendra de plusieurs facteurs, tels que le secteur d’activité de l’entreprise, les traitements de données effectués et le niveau de maturité de l’entreprise en matière de protection des données. Selon les estimations, le coût d’un DPO externalisé pour une entreprise de taille moyenne (200 à 300 salariés) peut varier de quelques milliers d’euros pour un état des lieux à environ 10 000 à 12 000 euros par an pour bénéficier d’un DPO externalisé.
Il est important de souligner que le coût d’un DPO externalisé peut être considéré comme un investissement, étant donné que le respect des obligations légales en matière de protection des données est devenu essentiel pour les entreprises de tous secteurs. En effet, les sanctions financières encourues en cas de manquement au RGPD peuvent être très lourdes, allant jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros, selon laquelle de ces deux sanctions est la plus élevée. Avoir un DPO externalisé peut donc être un moyen de garantir la conformité de l’entreprise en matière de protection des données, et ainsi d’éviter les risques financiers liés à des sanctions en cas de manquement.
Quel coût pour un DPO externalisé : Etat des lieux RGPD / audit RGPD
Voici les étapes principales d’une mission d’audit de conformité RGPD :
- Étude de l’existant : l’auditeur commence par recueillir tous les documents et informations nécessaires pour comprendre les pratiques de l’entreprise en matière de traitement de données personnelles.
- Évaluation des risques : l’auditeur analyse les risques pour la protection des données personnelles et vérifie si l’entreprise a mis en place des mesures adéquates pour les gérer.
- Vérification de la conformité : l’auditeur vérifie si l’entreprise respecte les obligations définies par le RGPD, telles que la notification des violations de données à la CNIL, la mise en place de procédures de gestion des droits des personnes concernées, etc.
- Recommandations : l’auditeur formule des recommandations pour aider l’entreprise à se mettre en conformité avec le RGPD.
Les livrables d’une mission d’audit de conformité RGPD peuvent inclure un rapport d’audit décrivant les résultats de l’audit et les recommandations, ainsi qu’un plan d’action pour aider l’entreprise à se mettre en conformité. L’auditeur peut également être amené à fournir un support et un conseil pour mettre en œuvre les recommandations.Pour un PME de moins de 10 salariés, il faut se baser sur une mission de 2 à 3 jours en fonction du type de données et du nombre de traitements.
Quel coût pour un DPO externalisé : Mission annuelle.
Voici les étapes principales d’une mission de maintien de la conformité RGPD, ces étapes peuvent varier en fonction de la mission :
- Mise à jour des politiques et procédures : l’entreprise doit s’assurer que ses politiques et procédures de traitement des données personnelles sont à jour et conformes aux exigences du RGPD.
- Sensibilisation du personnel : il est important que tous les employés de l’entreprise comprennent leurs obligations en matière de protection des données personnelles et sachent comment s’y conformer.
- Vérification de la conformité : l’entreprise doit réaliser des audits de conformité périodiques pour s’assurer qu’elle respecte toujours les obligations du RGPD.
- Gestion des incidents de données : en cas de violation de données, l’entreprise doit avoir des procédures en place pour gérer l’incident de manière efficace et informer la CNIL en cas de besoin.
- Maintien de la conformité.
Les livrables d’une mission de maintien de la conformité RGPD peuvent inclure un rapport d’audit décrivant les résultats de l’audit et les recommandations, ainsi qu’un plan d’action pour aider l’entreprise à maintenir sa conformité avec le RGPD. L’auditeur peut également être amené à fournir un support et un conseil pour mettre en œuvre les recommandations.
Quel coût pour un DPO externalisé : Assistance violation données
La gestion d’une violation de données consiste à prendre des mesures pour atténuer les conséquences d’une fuite de données personnelles et s’assurer que l’incident ne se reproduise pas à l’avenir. Cela peut inclure la notification de la violation à la CNIL et aux personnes concernées, la mise en place de mesures de sécurité supplémentaires pour protéger les données, etc.
Voici les étapes principales d’une mission de gestion d’une violation de données :
- Détermination de l’ampleur de la violation : il est important de comprendre la nature et l’étendue de la violation pour pouvoir évaluer les risques encourus et prendre les mesures nécessaires.
- Notification de la CNIL et des personnes concernées : le RGPD exige que les entreprises informent la CNIL et les personnes concernées en cas de violation de données à caractère personnel.
- Mise en place de mesures de sécurité supplémentaires : il est important de mettre en place des mesures de sécurité supplémentaires pour empêcher que la violation ne se reproduise à l’avenir.
- Suivi de la situation : il est important de suivre l’évolution de la situation pour s’assurer que les mesures mises en place sont efficaces et que la violation ne se reproduit pas.
Les livrables d’une mission de gestion d’une violation de données peuvent inclure un rapport décrivant les mesures prises pour gérer l’incident et éviter qu’il ne se reproduise à l’avenir, ainsi qu’un plan d’action pour mettre en œuvre ces mesures. L’auditeur peut également être amené à fournir un support et un conseil pour mettre en œuvre le plan d’action.