Audit de conformité au RGPD : gage de respect du règlement

Audit de conformité au RGPD

En plus de la législation déjà en vigueur en matière de protection des données à caractère personnel, le Règlement Général Européen sur la Protection des Données (RGPD), entré en application dans les États membres de l’Union européenne le 25 mai 2018, est venu renforcer le cadre législatif et a mis en place de nouvelles obligations pesant sur les organismes traitant ces types de données. Leur responsabilité a ainsi été renforcée, ils sont tenus de mettre en place toutes les mesures nécessaires afin d’assurer la protection de ces données et de prouver leur conformité au RGPD en cas de contrôle. 

Le RGPD a poussé de nombreuses structures à réaliser un audit de conformité au RGPD afin d’évaluer si elles sont conformes ou non à ces exigences, autant au niveau interne qu’externe.

En effet, ce type d’audit va vérifier dans quelle mesure le règlement est respecté par un organisme en analysant différents aspects, et si ce n’est pas le cas, ce dernier pourra prendre toutes les mesures nécessaires pour y remédier.

L’obligation de réaliser un audit de conformité au RGPD 

L’audit de conformité au RGPD n’est pas obligatoire. Toutefois, étant donné les lourdes sanctions auxquelles peuvent être condamnés les organismes en cas de non-respect de ce règlement, il est vivement conseillé d’en réaliser un.

Cela peut également être l’occasion d’améliorer sa sécurité en faisant un grand nettoyage et en effaçant toutes les données stockées à tort au sein d’une structure.

De plus, un manquement à ses obligations pourrait ternir l’image de marque d’un organisme. Par exemple, si un piratage informatique survient et qu’il touche les données à caractère personnel qu’il possède, cela ne jouera pas en faveur de sa réputation. 

Ce type d’audit permet à tout organisme de démontrer facilement sa conformité en cas de contrôle, d’incidents de sécurité ou encore de plainte. C’est également l’occasion de faire un bilan et d’apporter des solutions en cas de manquement à la politique de protection des données.

Par ailleurs, un sondage mené en février 2018 par l’Institut français d’opinion publique a révélé que pour 77 % des personnes interrogées, la transparence dont font preuve les entreprises lors de l'utilisation des données personnelles pourrait rentrer dans leurs critères d’achat.

La durée de l’audit et ses principales étapes 

En règle générale, sa durée varie entre cinq et dix jours, mais cela dépend de la situation. Plus l’organisation sera grande et possédera de nombreux processus impliquant des données à caractère personnel, plus l’audit sera conséquent.

La réalisation d’un audit peut s’avérer fastidieuse. C’est pourquoi, de nombreuses entreprises font appel à des experts afin de leur déléguer cette tâche et de se faire accompagner.

Généralement, l’audit se divise en deux grandes étapes : l'audit informatique et liberté et l'audit juridique.

Étape 1 : L’audit informatique et liberté

L’audit informatique et liberté permet de réaliser une analyse de la masse de données circulant dans l’entreprise. Un inventaire et une cartographie du traitement des données seront réalisés dans le but d’établir une nomenclature précise et un recensement complet.

Puis, le stockage des données sera évalué. La politique de confidentialité de la société sera passée au peigne fin afin de s’assurer qu’elle ne présente aucune faille de sécurité ou aucun points contredisant le RGPD. Lors de cette étape, la durée de conservation des données sera également vérifiée, ainsi que la manière dont elles sont utilisées et leurs finalités.

Et enfin, ce sera au tour de la vérification de l’efficacité des systèmes de protection des données de l’entreprise. C’est une étape très technique puisque l’ensemble des outils informatiques utilisés par l’organisme devront être évalués.

Bien entendu, pour mener à bien cette étape, une transparence totale entre les experts réalisant l’audit et l’organisme est essentielle. 

Étape 2 : L’audit juridique

L’audit juridique va quant à lui s’assurer de la conformité de la documentation de l’organisme avec le RGPD grâce à l’étude des Conditions Générales de Vente et des principaux contrats de l’entreprise.

Puis, l’expert chargé de l’audit s’assurera de la légalité des mentions obligatoires contenues sur les formulaires de contact et des clauses contractuelles en matière de traitement des données.

Tout au long de la réalisation de l’audit, les principaux points abordés sont les suivants : 

• L’identification des données traitées par l’entreprise ;
• L’analyse de la gestion de ces données ;
• L’analyse de la finalité de celles-ci ;
• L’évaluation du risque pour les droits et les libertés des personnes concernées ;
• La présentation des mesures envisagées pour mettre fin à ces risques.

L’audit semble être une garantie de mise en conformité certaine et rapide. Toutefois, la mise en conformité au RGPD d’un organisme ne s’arrête pas là. D’autres étapes sont ensuite nécessaires comme la nomination d’un Délégué à la protection des données (DPO) ou la constitution d’un registre des traitements de données.