En pratique, l’audit va apporter à l’organisation les bénéfices suivants :
- éliminer les risques de sanction (voir un exemple ici)
- améliorer l’expérience des utilisateurs dont les données sont collectées (clients, prospects, salariés)
- améliorer la sécurité des données et des systèmes qui vont opérer le traitement et éviter des fuites de données
Une première étape va consister à recenser l’ensemble des traitements de données personnelles qui sont opérés par l’organisation, ce qui va permettre ensuite de démarrer un travail de mise en conformité. Notez qu’aujourd’hui les logiciels de gestion de la conformité RGPD permettent grâce à l’IA d’automatiser un grand nombre de tâches et vous faire économiser des centaines d’heures de travail, il est donc essentiel de bien choisir son outil.
Etape 1 : recenser les traitements de données personnelles
La première étape de l’audit de conformité RGPD va être de recenser l’ensemble des traitements de donnée personnelle qui sont opérés par l’organisation ce qui va contribuer à la création du registre des traitements. Attention cependant, recenser un traitement de données à caractère personnel, ne veut pas dire recenser les données personnelles ! On va indiquer que l’entreprise met en place une newsletter pour ses clients. On ne recense pas l’ensemble des emails des personnes qui sont inscrites à la newsletter.
1.1 Recensement manuel des traitements
Bien qu’il soit d’usage aujourd’hui d’utiliser des outils permettant l’automatisation de ces tâches, on peut faire la liste manuellement de l’ensemble des traitements qui existent dans l’organisation. Pour cela on part en général de la liste des applications logicielles utilisées dans l’organisation. Puis on complète l’audit en conduisant des interviews qui ont pour objectif d’étoffer cette liste.
Voici un exemple de liste de traitements que l’on retrouve souvent dans les organisations :
- Site Internet
- Paie
- Plan de continuité
- Liste de partenaires
- Contrôle d’accès aux locaux
- Cantine
- Monétique
- Vidéo surveillance
- Géolocalisation de véhicules
- Postes de travail
- Facturation
- Embauche (CV…)
- Outils de prospection commerciale
- Traçabilité des actions informatiques
- Gestion d’accès des sauvegardes
- Logs de serveurs
- Centrale téléphonique
1.2 Recensement automatisé des traitements
Evidemment des solutions logicielles sont apparues dès 2017 pour automatiser ces tâches d’élaboration de la liste des traitement qui est très chronophage. Aujourd’hui ces solutions permettent de créer un registre de l’ensemble des traitements en quelques minutes.
En tout état de cause, ces fonctionnalités sont très utiles et vous permettent d’éviter une charge inutile de travail qui n’apporte que très peu de valeur à l’organisation (on s’accordera sur le fait que tout le monde à mieux à faire que de documenter des traitements de données personnelles…).
Etape 2 : évaluer la conformité des traitements
A partir du moment où la cartographie des traitements est réalisée, il est relativement simple de démarrer le travail d’évaluation de la conformité de chaque traitement. On déploie alors un processus de conformité sur chaque activité de traitement, ce qui va nous permettre de poser les bonnes questions et de déterminer le niveau réel de conformité. Voici à quoi ressemble un processus de conformité RGPD :
Celui-ci va permettre de vérifier que les points critiques du RGPD sont bien respectés, et de mettre en place des actions correctives si nécessaire. Voici quelques étapes essentielles de l’audit.
2.1 Auditer le dispositif de collecte des données personnelles
La première étape de l’audit RGPD va consister à vérifier les points de collecte de données personnelles. Le règlement impose en effet un certain nombre de principes essentiels quant à la collecte des données :
- la collecte doit être transparente, ce qui signifie que l’utilisateur doit clairement être informé de ce qui est fait de ses données
- les données doivent être minimisées, ce qui signifie que l’organisation doit collecter le minimum de données personnelles nécessaires à la finalité du traitement
- l’organisation doit disposer d’une base légale (consentement, contrat, obligation légale…) pour collecter les données.
- Si la base légale repose sur le consentement, alors le consentement doit être collecté conformément aux exigences du RGPD
- ensuite mettre en place les mentions légales
Il est possible de faire cet audit à la main, ou, encore une fois d’utiliser un logiciel qui va auditer automatiquement analyser les points de collecte de données personnelles et fournir un rapport d’audit en indiquant les éléments qui sont ou non conformes, comme par exemple ici pour la base légale :
Afin de vous aider, vous trouverez sur ce blog un article qui détaille comment mettre en conformité les formulaires de collecte des données avec 7 exemples pratiques ce qui vous permettra d’avoir des modèles types de formulaires de collecte de données personnelles déjà conformes.
2.2 Auditer la conformité des sous-traitants
Une seconde étape va consister à auditer les sous-traitants qui interviennent dans la chaîne de traitement des données. Cette partie est très importante car il est fréquent que de nombreuses organisations interviennent dans toute la chaîne de traitement. Or, le RGPD impose des règles très spécifiques pour les sous-traitants, qui doivent être en mesure de garantir que l’ensemble des règles imposées par le RGPD sont bien implémentées sur leur partie de la chaîne de traitement.
L’article 28 du RGPD impose à ce titre de procéder à une 30aine de vérifications pour s’assurer de la conformité réelle du sous-traitant (nonobstant ce que ceux-ci peuvent déclarer…).
Voici quelques exemples de vérification qu’il est nécessaire de faire :
- Est-ce que les personnels du sous-traitant sont soumis à une obligation de confidentialité pour la manipulation des données personnelles
- Est-ce que le contrat entre l’organisation et le sous-traitant prévoit une clause indiquant que le sous-traitant s’engage à détruire les données personnelles en fin de prestation ?
- Est-ce que ce contrat prévoit une clause autorisant la réalisation d’audits, et d’inspections par le responsable du traitement ?
Encore une fois, il est possible de réaliser cette évaluation à la main - mais il faut compter entre 3 et 5 heures - ou utiliser un logiciel tel que Legiscope qui va réaliser cela en quelques minutes avec un niveau de qualité identique à un expert ayant 15 ans d'expérience.
2.3 Auditer la sécurité des données
La troisième étape va consister à s’assurer que le niveau de sécurité des données est suffisant pour garantir la confidentialité, l’intégrité et la disponibilité des données. L’audit RGPD doit permettre de détecter les problèmes éventuels de sécurité et d’évaluer les mesures de sécurité actuellement en place. Cela implique souvent de vérifier les aspects suivants :
- Mesures techniques de protection : Évaluation des systèmes de cryptage, des pare-feu, des antivirus, et des autres outils de sécurité informatique utilisés pour protéger les données.
- Politiques de sécurité : Analyse des politiques internes de l’organisation concernant la gestion des données, y compris les règles de confidentialité, de contrôle d’accès, et de gestion des incidents.
- Formation et sensibilisation des employés : Vérification que le personnel est régulièrement formé et conscient des risques liés à la protection des données personnelles.
- Gestion des accès : Contrôle des droits d’accès aux données personnelles pour s’assurer que seules les personnes autorisées y ont accès. Procédures en cas de violation de données : Examen des procédures en place pour détecter, rapporter et gérer les violations de données.
Etape 3: Établir un plan d’action
Une fois l’audit terminé, l’étape finale consiste à élaborer un plan d’action pour remédier aux lacunes identifiées. Ce plan devrait inclure :
- Actions correctives : Énumération des mesures à prendre pour résoudre les non-conformités.
- Priorisation des tâches : Classement des actions à entreprendre par ordre de priorité, en tenant compte des risques associés.
- Calendrier de mise en œuvre : Détermination des échéances pour la mise en œuvre des mesures correctives.
En suivant ces étapes, une organisation peut s’assurer non seulement de sa conformité au RGPD, mais aussi renforcer sa posture de sécurité et sa crédibilité en matière de protection des données personnelles.
