Le coût de la conformité

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

 

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

 

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

  • Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

  • Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros5.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

  • Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

 

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

 

 

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

 

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.