Combien coûte un exercice de droit ?

Selon la dernière enquête de la CNIL, près de 87% des français se déclarent sensibles quant aux enjeux en matière de protection des données personnelles (Sondage IFOP pour la CNIL réalisé auprès d’un échantillon de 1 006 personnes représentatif de la population française âgée de 18 ans et plus, décembre 2020.)

Les chiffres le montrent : en 2020, la CNIL a reçu près de 14 000 plaintes du grand public.

Exercice de droit, mais de quoi parle-t-on ?

Le RGPD est très clair sur ce sujet : chaque individu dispose des droits sur ses données personnelles. On retrouve notamment :

Pour faire simple, chaque individu a le droit demander la suppression ou la copie de ses données personnelles à n'importe quelle entreprise qui les contiendrait. Ensuite, selon les cas de figure, l'entreprise peut - ou non - exécuter toute ou partie de la demande.

Par conséquent, chaque année, un nombre croissant d’utilisateurs souhaitent réduire leur emprunte digitale, en demandant notamment la suppression de leurs données personnelles. De plus, la sobriété numérique que promeut le RGPD (minimalisation des collectes de données, limitation de la conservation) a également un impact écologique, auxquels les citoyens sont sensibles.

Cette tendance de fonds impacte fortement les entreprises, qui doivent surmonter des enjeux organisationnels pour répondre aux demandes. En effet, rares sont les organisations préparées à ce type de traitements.

Comment cela se passe en général ?

Le processus usuel est le suivant :

L’entreprise reçoit une demande, par e-mail, sur l’adresse du support client ou celle présente sur la politique de confidentialité de l’entreprise (lorsqu’elle existe...). Le support doit accuser correctement réception de la demande, et vérifier que celle-ci est légitime : la personne est bien celle qu’elle prétend être.

Ensuite, la demande est transférée aux différentes équipes de l’entreprise pour que les données soient supprimées dans les différents outils de l’entreprise. Par exemple :

  1. Les CRM
  2. Les outils d’e-mailing / SMS
  3. Les outils de support (helpdesk, chat en ligne ...).
  4. Les outils d’analytiques
  5. Les CMS
  6. Les outils de paiement
  7. Les outils d’automatisation
  8. Les outils d’e-mailing
  9. Les outils de facturation
  10. Les sous-traitants en tout genre (transports, cadeaux, ...).
  11. etc.

Les données personnelles se retrouvent souvent dans de nombreux outils différents, gérés par différents membres d’équipe dans l’entreprise.

Le traitement d’un exercice de droit en devient donc particulièrement complexe, car il faut par ailleurs un individu en charge de s’assurer :

  • que la donnée est correctement supprimée (traces de logs) dans l’ensemble des outils et conservée dans les outils où elle doit l’être
  • de communiquer avec l’utilisateur qui a fait la demande et valider, dans le délai imparti par la loi.
  • de maintenir le registre des exercices de droits (date de la demande, identifiant de l’utilisateur)

Concernant les délais de traitement, il s’agit d’un mois pour les demandes simples, 3 mois maximum pour une demande complexe (par exemple si une personne demande une copie de l'intégralité de ses données) et 8 jours maximum pour des données de santé.

L’exercice de droit est donc une accumulation d’actions manuelles sur une action sensible. En effet, si l’entreprise n’a pas correctement effectuée la diligence (périmètre de la suppression, délai de mise en oeuvre), une plainte est plus que rapidement arrivée !

Quelle est l’estimation du coût d’une demande d’exercice de droit?

A partir de ces différentes étapes, il devient simple de donner un premier élément de dimensionnement.

Les coûts cachés variables

Prenons les hypothèses suivantes :

  • Réception et vérification que la demande provient d’un utilisateur identifié de votre base : 1 minute
  • Répondre à l’utilisateur que sa demande sera traitée : 1 minute
  • Vérifier l’identité de l’utilisateur (parfois demander des informations complémentaires) : 5 minutes
  • Transférer la demande aux équipes en place (e-mails ou tickets) : 2 minutes
  • Vérifier si certaines données doivent être conservées ou non (factures ...) : 3 minutes
  • Suppression effective de la donnée dans les SaaS et bases internes : 3 minutes par outil
  • Demande de suppression de la donnée dans des outils externes sans interface dédiée : 5 minute par outil (incluant le mail de demande, la vérification du travail effectuée).
  • Répondre à l’utilisateur pour lui confirmer que sa demande a été traitée, et le cas échant, packager ses informations et les joindre à l’e-mail de conservation : 3 minutes
  • Copier la demande dans un registre dédié horodaté : 1 minute

Evidemment, ces temps ne prennent pas directement en compte les enjeux de perte de focus des équipes, coupures dans l’activité business, etc.

Les coûts cachés fixes

Pour simplifier à l’extrême le calcul, prenons un salaire moyen brut annuel chargé de 50K€ (soit environ 36,8K€ brut côté salarié) pour réaliser toutes ces opérations, sur un profil travaillant 38h par semaine. Ce chiffre peut être affiné, dans la mesure où plusieurs personnes de différents salaires et niveau de séniorité peuvent intervenir dans le processus, notamment :

  • Un membre de l’équipe support qui répond au client,
  • Un membre de chaque équipe (Marketing, Sales, Tech) pour supprimer la donnée dans les différents outils,
  • La personne en charge du RGPD (DPO) qui doit suivre l’évolution du traitement de la demande et la consigner dans le registre adapté.

Enfin, à l’ensemble de ce temps variable, s’ajoute un temps fixe mensuel qualité, directement corrélé à l’exercice comme :

  • Une vérification mensuelle du bon traitement de l’ensemble des tickets / demandes et une évaluation du temps de réponse
  • Les développements des équipes techniques pour s’assurer que la suppression des données personnelles est prise en compte dans les éventuels nouveaux développements
  • La rédaction et mise à jour de support qui formalise les processus, ainsi que la formation interne des collaborateurs sur les processus (suppression, extraction de données)
  • Les cas où le problème pourraient remonter au top management pour résoudre des insatisfactions clients issus d’exercices de droit mal gérés
  • Les éventuels frais d’avocat mensuels

Pour y voir plus clair, nous avons préparé un petit simulateur à partir de ces hypothèses. Pour être conservateur, nous considéré que 2 heures de temps étaient consacrées chaque mois par le DPO sur les sujets d’exercice de droits. On inclut également dans ce temps, les éventuels développements techniques et adaptations (scripts de suppression, etc.).

Calculez le coût d'un exercice de droits dans votre organisation

Grâce au calculateur ci-dessous, vous pouvez saisir différentes hypothèses qui vous permettront d'estimer le coût total de traitement d'une demande d'exercice des droits dans le contexte précis de votre organisation. N'hésitez pas à le tester ! 👇

Quels sont les autres éléments non calculés ?

Une autre catégorie de coûts peuvent être pris en compte, plus complexes à quantifier. Il s'agit notamment des risques suivants :

Le risque de pénalités

Aujourd'hui, les entreprises de toutes les tailles sont soumises au risque d'amendes. Comme vous pourrez le constater dans cette liste, les amendes ne sont plus réservées au GAFA. Le risque de pénalités peut s'élever à 4% du chiffre d'affaires mondial ou 20 millions d'euros.

Le risque de data breach

Dès lors que des données personnelles qui concernent votre entreprise (clients, salariés, prospects ...) sont stockés par des sous-traitants, une attaque de leur système sur l'un d'entre eux vous expose également en termes de protection de données personnelles. Par ailleurs, le fait de demander manuellement, par envoi d'e-mails, la suppression des données d'un de vos utilisateurs, augmente le risque d'erreur et l'exposition des données. Il suffit d'une fausse manipulation sur un e-mail de la part de votre sous-traitant pour vous poser des problèmes.

Le risque de l'erreur humaine

On l'a vu, avec autant d'étapes à réaliser manuellement par les équipes, l'erreur humaine est plus que probable. Il peut s'agir d'une simple faute de frappe, ou mener directement à un data breach. 

Le risque réputationnel

Si, dans les erreurs évoquées ci-dessus, des célébrités, politiciens ou journalistes sont concernées, la réputation de votre marque peut très rapidement être mise à mal. Si le problème prend des ampleurs inconsidérées, cela peut largement mettre en péril l'activité même de votre entreprise.

Comment réduire les coûts et maîtriser le risque ?

La clé réside en un mot : l'automatisation. Nous avons rencontré des entreprises qui ont une approche semi-automatisée, avec des scripts réalisés en interne. Malheureusement, ils ne couvrent jamais l'ensemble du workflow, de la réception de la demande à la confirmation de sa mise en oeuvre auprès de l'utilisateur. 

Envie de discuter 15 minutes avec un expert pour faire le point sur votre situation ? N'hésitez pas à prendre rendez-vous directement en ligne.

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre