Est-il vraiment obligatoire de se mettre au RGPD ? Quels sont les risques en cas de non-conformité ? Et au fait, combien ça coûte ?

Réponses à ces questions avec Apolline, avocate RGPD et spécialiste en propriété intellectuelle.

Widr : Quelles entreprises sont concernées par la RGPD ?

Apolline : Beaucoup d’entreprises, surtout TPE et PME pensent que le RGPD s’applique uniquement aux GAFA. C’est une erreur.

Prolongation de la loi Informatique et Liberté de 1978, le RGPD (Règlement général sur la protection des données) a été pensé globalement, dans un contexte numérique, pour protéger les données personnelles de personnes, et qui peuvent être rapidement utilisées à mauvais escient.

Toutes les données personnelles doivent être sécurisées, et traitées uniquement dans le but pour lequel elles ont été données, car le respect de la vie privée s’applique à tous.

Dans les prochaines années, on sait que de nombreuses entreprises fermeront si elles ne passent pas au digital. C’est donc la responsabilité de chaque entreprise, peu importe sa taille, de protéger les données personnelles. La CNIL pourra contrôler aussi bien une petite entreprise que Google.

Widr : Quels sont les risques encourus par une entreprise si elle ne se met pas en conformité ?

Apolline : L’entreprise qui ne se met pas en conformité risque gros. Le RGPD prévoit des sanctions très lourdes, avec 2 niveaux de sanctions :

  • Amende de 10 millions d’euros, ou 2% du chiffre d’affaires HT mondial.
  • En cas d’infraction plus grave, 20 millions d’euros d’amende, ou 4% du chiffre d’affaires HT mondial.

Dans la mise en pratique, les sanctions seront modulées en fonction de la taille de l’entreprise et de l’infraction commise.

Widr : Comment choisir l’expert pour nous accompagner dans ce projet ?

Apolline : Il faut bien évidemment s’assurer de l’expérience du professionnel.

Une grande expertise juridique est indispensable, donc cherchez un profil qui a fait beaucoup de droit et avec une forte connaissance des dispositions du RGPD et de la jurisprudence de la CNIL. Juriste, avocat, sont des profils adaptés.

Le RGPD concernant le digital, une expertise informatique est un gros plus pour savoir où sont localisées les données, connaître les supports de stockage…

S’il n’a pas les connaissances informatiques, l’expert juridique proposera de créer un binôme avec un expert informatique. Pour moi, ces 2 personnes représentent le duo gagnant.

Bon à savoir : récemment, la CNIL a attiré l’attention des entreprises sur l’émergence de faux experts RGPD. Veillez à choisir des professionnels ayant bien des compétences juridiques ET informatiques.

Egalement, beaucoup de gens se présentent avec compétences organisationnelles : pourquoi pas, mais pensez à l’expertise juridique qui est indispensable.

Widr : Combien ça coûte de se mettre en conformité ? 

Apolline : Plusieurs critères sont à prendre en compte pour définir un coût :

  • La taille de l’entreprise,
  • L’ampleur du traitement de données personnelles,
  • La mission confiée.

Une mission complète peut comprendre une formation en entreprise sur les données personnelles, un audit, puis un accompagnement pour la mise en place.

Pour une mission complète, l’expert va se rendre plusieurs jours sur place, chez le client, donc les tarifs pourront être élevés.

S’il s’agit d’une formation d’une journée, et que la personne fait elle-même ensuite la cartographie des données, l’audit et la mise en place, évidemment ce sera moins cher.

Les tarifs s’étendent donc de quelques centaines d’euros à plusieurs milliers.

Attention aux tarifs bas, qui sont dangereux : le forfait est un mauvais indice (sauf s’il est très clair que la mission consiste à une journée de formation). Pour moi, les forfaits ne sont pas pertinents car ils omettent un paramètre essentiel : le nombre de traitements de données personnelles que l’on va découvrir dans l’entreprise, et qui donne tout son sens au tarif pratiqué.

Widr : Comment vous faites-vous connaître ?

Apolline : Déontologiquement, jusqu’à récemment, nous étions très peu autorisés à faire de la pub. Maintenant c’est plus libre mais personnellement je n’ai pas le temps d’en faire.

Et dans notre profession, on se fait énormément connaître par le bouche-à-oreille : c’est challengeant d’être en développement perpétuel, de travailler avec de nouveaux clients, sur de nouveaux projets !