GDPR pour les ETI et PME : quel est le coût de la mise en conformité ?

Partager

Dans le cadre de ma participation au webinaire du mardi des experts du cloud « GDPR : par où commencer pour être en conformité ? » qui a eu lieu le 6 février 2018, j'ai partagé ma vision de l’impact du GDPR et notamment éclairci un point peu abordé : quel en est le coût pour les ETI et les PME ?

Loi informatique et libertés : beaucoup d’intérêt et peu d’effets

Quinze ans de missions sur la loi informatique et libertés m’ont appris une chose : on évangélise beaucoup sur ces domaines (la loi date de 1978). Au-delà de cela, à part la directive « cookies » de 2011, peu d’effets ont été observés sur le terrain. L’envie était là mais lorsqu’il s’agissait de passer concrètement à la mise en œuvre et de demander des budgets ou la nomination d’un RSSI : « L’année prochaine ! » était la réponse standard dans les ETI.

Le marketing de la peur au service de la prise de conscience

Mais les choses ont changé. Depuis 1 an et demi, j’observe que les grandes entreprises mettent désormais la pression aux entreprises plus petites afin de leur demander, voire exiger qu’elles se mettent en conformité avec le nouveau règlement.
Même si le marketing de la peur, pratiqué par certains consultants, peut paraître exagéré (le chiffon de l’amende de 20 millions d’euros le 26 mai 2018 au matin ne concernera probablement que les grands opérateurs du type GAFA), il permet néanmoins de faire monter le sujet jusqu’aux comités de direction des entreprises et d’obtenir les financements nécessaires. On ne peut que s’en réjouir.

La mise en conformité n’est pas seulement une contrainte

Certes, la mise en conformité permet d’éviter les sanctions de la CNIL qui sera plus sévère qu’auparavant. Jusqu’ici, si vous étiez loin de Paris et d’une ligne de TGV, ou dans des secteurs d’activité rarement contrôlés, les sanctions étaient plutôt rares. Mais la situation va changer et les contrôles vont se renforcer et se multiplier. Ceci étant, le GDPR est un règlement fort différent des lois françaises habituelles. Il s’agit d’un règlement pragmatique où on ne demande pas aux entreprises d’être parfaites mais de s’améliorer tous les jours.

Le GDPR, combien ça coûte ?

D’une part, malgré une apparente complexité, les démarches à entreprendre sont simples : une cartographie des données décrivant où vos données sont stockées et comment elles transitent d’un système à un autre, comment elles sont stockées, archivées et surtout, comment vous pouvez les récupérer en cas de désastre ou d’attaque malveillante. Et tout cela doit être documenté, pour pouvoir se placer dans une démarche d’amélioration continue.

Quelques exemples chiffrés, basés sur mes missions

Prenons un acteur du e-commerce de taille moyenne opérant sur le territoire national et en Allemagne. S’il dispose déjà d’un plan de sécurité, d’un embryon de cartographie et s’il sait où vont ses données et que ses contrats de filiales sont solides, il ne lui en coûtera que 15 à 20 k euros pour mettre en place les procédures, la révision des contrats, les cartographies de données et le lancement de la mission d’audit avec étude d’impact, rendue obligatoire par la réglementation.
Tout dépend de la maturité de l’entreprise, et il faut noter que ce chiffre ne couvre pas les coûts de mise en conformité technique du SI. Pour cerner ces coûts, il faut passer par un premier audit qui permet de déterminer ses principales faiblesses.

 

Lamon image article blog

La méthode de la CNIL intitulée « se préparer en 6 étapes » est un bon point de départ pour les entreprises qui désirent se mettre en conformité en toute simplicité.

Documenter la conformité

Si vous êtes plus petit que notre e-commerçant et que vous êtes une PME, un tout petit e-commerçant indépendant par exemple, une enveloppe de 3 à 5 k € environ (selon le besoin et la complexité) serait nécessaire. Un effort financier modeste, surtout si vous devez vous mettre en conformité afin de gagner un appel d’offres.
J’ai, en effet, rencontré récemment un exemple de ce type avec un opérateur de services en peer to peer en forte croissance, dont la stratégie SI est très avancée. Leur budget de mise en conformité se place plutôt autour de 20 k € mais précisons que leur chiffre d’affaires a déjà atteint les 10 millions d’euros. Cet acteur avait déjà largement préparé les documents et process adéquats.
Enfin, si vous désiriez mettre en œuvre la documentation et la cartographie vous-même, il vous faudrait embaucher un professionnel, interne ou externe, à mi-temps pendant 6 mois, ce qui revient (avec les charges) à peu près au même chiffre que celui cité précédemment. Ce montant pourra toutefois être dépassé s’il vous fallait également mettre à niveau vos mesures de protection des données personnelles.
En résumé, la complexité du GDPR doit être relativisée et son coût n’est pas prohibitif. Mieux que cela, il peut permettre aux acteurs économiques qui se sont laissés dépasser de mettre leur capital digital à niveau. Ceux qui sauront saisir cette opportunité pourront même envisager de bâtir un avantage concurrentiel sur la base de la confiance qu’ils auront établie avec leurs clients.

Pour aller plus loin

Au-delà de la contrainte, le GDPR protège nos économies numériques

Bien préparer le GDPR

GDPR : quels enjeux pour le cloud computing ?

Webinaire
RGPD : par où commencer pour être en conformité ?
Mardi 6 février à 12h30

portrait Bernard Lamon
Bernard Lamon

Titulaire de la spécialité « droit de l’informatique et internet » délivré, sur examen, par les instances professionnelles des avocats, j’interviens sur des dossiers de conseil auprès d’entreprises exclusivement dans ce domaine. Je traite donc de sujets liés aux logiciels, aux données, aux algorithmes et à l’intelligence artificielle au quotidien. Le RGPD (Règlement Général de Protection des Données) constitue l’enjeu essentiel de la réglementation des entreprises en 2018 dans ce secteur. J’exerce le métier d’avocat depuis 20 ans et dirige un cabinet d’avocats dédié à la propriété intellectuelle et aux technologies à Paris et à Rennes qui sert un segment principal, celui des entreprises de taille intermédiaire (ETI).