RGPD : externaliser ou pas ?
Bonjour,
nous sommes très en retard dans la mise en conformité RGPD : nous avons recensé la liste des traitements de données personnelles, identifié les axes de travail pour la mise en conformité et fait la partie du boulot qui concerne nos sites internet (gestion des cookies + consentement pour les formulaires). Dans la mesure où nous ne traitons pas de données sensibles, il ne nous reste me semble-t-il que la gestion des contacts pro sur les feuilles de présences, pour les mailings...
Dans la mesure où nous sommes très en retard nous nous sommes posé la question de l'externalisation et j'avoue que je suis surprise par les montants prohibitifs des prestations de mise en place de la règlementation (env. 2000€) & de DPO externalisé (env. 2000€ annuels), qui me font penser que je passe peut-être à côté de la complexité de la tâche.
D'où ma question : le niveau d'expertise nécessaire pour l'application de la RGPD vous semble-t-il justifier une externalisation pour la mise en place de la RGPD et le rôle de DPO pour une association qui ne gère pas de données sensibles (et somme toute assez peu de données personnelles, nos adhérents étant des EPCI) ?
D'avance merci,
Meilleures réponses
-
Bonjour Lenaïc, à vous lire, vous semblez avoir déjà la réponse à votre question. Mon avis :
vous n'êtes sans doute pas plus "en retard" sur la mise en conformité au RGPD que 90% des associations, entreprises et administrations en France et même en Europe.
Si vous avez les moyens d'accélérer, tant mieux, mais le tout c'est surtout que vous avanciez, du moins en regard de la politique de contrôles de la CNIL.
Situation toutefois à apprécier selon votre secteur d'activité et les différentes alertes ou plaintes qui vous auraient déjà été remontées.oui, la conformité RGPD prend du temps et de l'expertise, et les tarifs affichés par les prestataires me paraissent cohérents. Toutefois, vous pourriez réfléchir à une 3ème voie, plus économique, en ayant un DPO (interne ou externe) mutualisé avec d'autres structures, voir en proposant cela comme un service à vos adhérents. RGPD rime aussi avec opportunité :-)
enfin, vous avez bien résumé les choses : vous avez
- peu de moyens
- pas de données sensibles
- peu de données personnelles
- déjà entamé le chantier par vous-mêmes
... alors à mon avis nul besoin d'externaliser, à moins encore une fois d'avoir un enjeu stratégique fort que vous ne citez pas ici.
Réponses
Bravo pour avoir entamer cette démarche. J'ajouterai attention au choix éventuel des outils de partage de documents qui contuendraient des données personnelles.
J'ai trouvé une entreprise spécialisée dans la mise en conformité RGPD des associations et autres structures de l'économie sociale et solidaire (SCOP, SCIC, etc...). Elle propose notamment un service de DPO externalisé mutualisé. Je n'ai jamais eu affaire à cette entreprise mais cela peut vous intéresser alors je partage.
https://liberating.fr/