Comment se passe un audit RGPD ?

Comment se passe un audit RGPD ?

Pour entrer dans un processus de mise en conformité RGPD, il faut déjà commencer par un audit RGPD.

Un audit RGPD s’effectue en interne dans l’entreprise mais aussi en externe via différentes solutions. L’audit, s’il est bien fait, permet de bénéficier d’une vue sur ce qui doit être mis en place à plus ou moins court terme pour corriger des lacunes et failles identifiées. Car ne nous méprenons pas. Au moment de la mise en application de la loi, aucune entreprise ne peut dire qu’elle est conforme. Les contraintes sont, si on peut le dire ainsi, plus que contraignantes.

Dans les faits, pour certaines, elles ne sont pas applicables « en l’état », sinon – et ce n’est pas une plaisanterie – il n’est plus possible de gérer une entreprise au quotidien.

Comment se passe un Audit RGPD ?

Pendant que les juristes cherchent à interpréter la loi, il faut quand même chercher à préserver l’existence de la société!

A quoi sert l’audit RGPD du coup ?

L’audit RGPD permet donc d’entrer dans le processus de mise en conformité. Il va déterminer les urgences à traiter en fonction de la sensibilité des types de données personnelles employées dans l’entreprise. Cela inclut la manière dont elles sont exploitées et traitées, en fonction des actions. Cela dépend aussi du personnel qui y a accès et opère dessus. Ceci, directement ou indirectement, sur le territoire de l’UE, ou pas.

Les solutions d’audit RGPD doivent se concentrer sur quatre points principaux :

  • Découverte : la création d’un registre des données personnelles et des traitements de préférence sous forme informatique. Il va recenser les données et traitements ;
  • Gestion : la réflexion sur la manière dont s’organise le système d’information de l’entreprise. Cela comprend le traitement des documents papier. Donc, il s’agit de gérer tout ce qui concerne les données personnelles et leur respect de la législation avec :
    • Le consentement des personnes physiques sur l’exploitation de leurs données personnelles.
    • La suppression de données non nécessaires à l’activité de l’entreprise,
    • Le droit à l’oubli sur les données.
    • Les durées de rétention…
    • Les contrats pour des données personnelles échangées avec des pays hors UE…
    • … Et des dizaines de types de traitements pouvant mener à des risques en fonction de la sensibilité des données…
  • Protection : la protection des données est au cœur du processus du RGPD. Il s’agit de vérifier que toute la chaîne de traitement de l’information sur les données personnelles soit à la fois sécurisée en matière d’accès par les employés de l’entreprise mais aussi verrouillée pour tous les accès non autorisés depuis l’extérieur. Ces accès, s’ils sont poreux pourraient être une porte d’entrée vers des accès privilégiés qui pourraient mettre en danger le système d’information (virus, hackers,…).
    • De base, la protection des données personnelles et privées doit être assurée dès la conception d’un dispositif de traitement.
      • Données cryptées (chiffrées)
    • Savoir déceler une attaque, y répondre
    • Pouvoir en informer les autorités en moins de 72h en cas de violation avérée (fuite de données…)
    • Pouvoir vérifier les dispositifs de sécurité régulièrement…
  • Suivi récurrent : évidemment, de la même façon qu’une entreprise vit au jour le jour, les données personnelles évoluent en permanence ainsi que les traitements qui leur sont appliqués. Il y a plusieurs manières de procéder afin d’assurer le suivi du respect du RGPD dans le temps. Le DPO (Délégué à la Protection des Données) est une option à plein temps pour les entreprises dont la taille avoisine les 250 employés. Pour des structures plus légères, un suivi de DPO (ou DPD) externalisé est envisageable avec la société qui aura accompagné à la mise en conformité. Les deux se couplent potentiellement en fonction du travail nécessaire.

Cet article n’est évidemment pas exhaustif. Chaque entreprise ayant ses propres besoins et devant se conformer à un ou plusieurs des articles en vigueur dans le RGPD à un instant t.

Olivier Pavie

Vous souhaitez prendre contact avec nous ? Veuillez s’il vous plait remplir le formulaire ci-dessous, nous vous recontactons très vite.

Ce formulaire est conforme RGPD (Règlement Général de Protection des Données applicable pour tous les pays membres de l’UE depuis le 25 Mai 2018). Les données que vous soumettez ici sont traitées uniquement par nous. Elles sont hébergées momentanément sur ce site hébergé par GANDI SAS, société située à PARIS – FRANCE. Ce site est sécurisé par un certificat SSL (site HTTPS) qui garantit la sécurisation des échanges entre vous et l’hébergement du site.

L’équipe ValorConseil PACA

Envie de partager ?
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email