En pratique, l’audit RGPD doit permettre de dégager les bénéfices suivants :
- éliminer les risques de sanction
- améliorer l’expérience des utilisateurs dont les données sont traitées (clients, prospects, salariés)
- améliorer la sécurité des données et des systèmes qui vont opérer le traitement et éviter les risques de fuites de données
Une première étape va consister à recenser l’ensemble des traitements de données personnelles qui sont opérés par l’organisation, ce qui va permettre ensuite de démarrer un travail de mise en conformité. Aujourd’hui les logiciels de gestion de la conformité RGPD permettent, grâce à l’IA, d’automatiser quasiment entièrement ces tâches.
Etape 1 : débuter l’audit RGPD avec le recensement des traitements
La pierre angulaire de tout audit RGPD consiste à cartographier l’ensemble des traitements de données personnelles effectués par votre organisation. Cette étape va vous permettre d’avoir une vision claire et exhaustive de l’utilisation des données au sein de votre structure. Il ne s’agit pas ici de lister chaque donnée individuelle, mais bien d’identifier et de documenter tous les processus impliquant la collecte, le stockage ou l’exploitation de données à caractère personnel.
Ce travail préparatoire va contribuer à la création du registre des traitements. Pour réaliser cet inventaire des traitements, deux approches sont possibles :
1.1 Recensement manuel des traitements
Bien qu’il soit d’usage aujourd’hui d’utiliser des outils permettant l’automatisation de ces tâches, on peut faire la liste manuellement de l’ensemble des traitements qui existent dans l’organisation. Pour cela on part en général de la liste des applications logicielles utilisées dans l’organisation. Puis on complète l’audit en conduisant des interviews qui ont pour objectif d’étoffer cette liste.
Voici un exemple de liste de traitements que l’on retrouve souvent dans les organisations :
- Site Internet
- Paie
- Liste de partenaires
- Contrôle d’accès aux locaux
- Vidéo surveillance
- Géolocalisation de véhicules
- …
Après la phase initiale d’examen des applications logicielles, l’étape suivante dans le recensement manuel des traitements consiste à mener des entretiens avec les différents départements de l’organisation. Ces discussions sont vitales pour comprendre comment les données personnelles sont utilisées au quotidien dans les différents processus métier. Chaque entretien devrait chercher à répondre à plusieurs questions clés :
- Quelles données sont collectées ? Identifiez non seulement les types de données mais aussi leur sensibilité.
- Pour quelle raison ces données sont-elles collectées ? Cela aide à clarifier la finalité du traitement.
- Comment ces données sont-elles stockées et protégées ? Comprendre les mesures de sécurité en place est crucial.
- Qui a accès à ces données et pourquoi ? Cela aide à délimiter l’accès sur la base du besoin de connaître.
- Combien de temps les données sont-elles conservées ? Assurez-vous que la durée de conservation est conforme à la législation.
1.2 Recensement automatisé via un logiciel
Evidemment des solutions logicielles sont apparues dès 2017 pour automatiser ces tâches d’élaboration de la liste des traitement qui est très chronophage. Aujourd’hui ces solutions permettent de créer un registre de l’ensemble des traitements en quelques minutes.
En tout état de cause, ces fonctionnalités sont très utiles et vous permettent d’éviter une charge inutile de travail qui n’apporte que très peu de valeur à l’organisation (on s’accordera sur le fait que tout le monde à mieux à faire que de documenter des traitements de données personnelles…). Il en résulte le listing suivant par exemple :
Quelle que soit la méthode retenue, ce recensement des traitements de données personnelles va constituer le socle de votre audit RGPD et servir de base aux analyses de conformité. Une fois cette cartographie établie, vous pourrez passer à l’étape suivante : l’évaluation du niveau de conformité de chaque traitement identifié. Nous verrons dans la partie suivante comment auditer en pratique vos traitements et détecter les éventuels écarts par rapport aux exigences du RGPD.
Etape 2 : évaluer la conformité des traitements
Une fois votre registre des traitements établi, l’étape suivante de l’audit RGPD consiste à analyser en détail chaque activité de traitement pour évaluer sa conformité aux obligations du règlement européen.
Voici quelques étapes clés de l’audit de conformité RGPD.
2.1 Auditer le dispositif de collecte des données personnelles
Une fois que l’on entre dans l’audit d’une activité de traitement, l’auditeur va vérifier les points de collecte de données personnelles. Le règlement impose en effet un certain nombre de principes essentiels quant à la collecte des données :
- la collecte doit être transparente, ce qui signifie que l’utilisateur doit clairement être informé de ce qui est fait de ses données
- les données doivent être minimisées - ce qui signifie que l’organisation doit collecter le minimum de données personnelles nécessaires à la finalité du traitement
- l’organisation doit disposer d’une base légale (consentement, contrat, obligation légale…) pour collecter les données.
- Si la base légale repose sur le consentement, alors le consentement doit être collecté conformément aux exigences du RGPD
- ensuite mettre en place les mentions légales
Encore une fois le développement de l’IA permet d’automatiser ces tâches et détecter rapidement les points de non-conformité (voir un exemple ici) et disposer d’un rapport d’audit, comme par exemple ici pour la base légale :
L’objectif de cette partie est d’arriver avec des formulaires de collecte de données personnelles qui sont conformes au RGPD.
2.2 Auditer la conformité des sous-traitants
Une fois les points de collecte de données analysés, l’étape suivante va consister à auditer les sous-traitants qui interviennent dans la chaîne de traitement des données. Cette partie est très importante car il est fréquent que de nombreuses organisations interviennent dans toute la chaîne de traitement. Or, le RGPD impose des règles très spécifiques pour les sous-traitants, qui doivent être en mesure de garantir que l’ensemble des règles imposées par le RGPD sont bien implémentées sur leur partie de la chaîne de traitement.
L’article 28 du RGPD impose à ce titre de procéder à une 30aine de vérifications pour s’assurer de la conformité réelle du sous-traitant (nonobstant ce que ceux-ci peuvent déclarer…).
Voici quelques exemples de vérification qu’il est nécessaire de faire :
- Est-ce que les personnels du sous-traitant sont soumis à une obligation de confidentialité pour la manipulation des données personnelles
- Est-ce que le contrat entre l’organisation et le sous-traitant prévoit une clause indiquant que le sous-traitant s’engage à détruire les données personnelles en fin de prestation ?
- Est-ce que ce contrat prévoit une clause autorisant la réalisation d’audits, et d’inspections par le responsable du traitement ?
2.3 Auditer la sécurité des données
La troisième étape va consister à s’assurer que le niveau de sécurité des données est suffisant pour garantir la confidentialité, l’intégrité et la disponibilité des données. L’audit RGPD doit permettre de détecter les problèmes éventuels de sécurité et d’évaluer les mesures de sécurité actuellement en place. Cela implique souvent de vérifier les aspects suivants :
- Mesures techniques de protection : Évaluation des systèmes de cryptage, des pare-feu, des antivirus, et des autres outils de sécurité informatique utilisés pour protéger les données.
- Politiques de sécurité : Analyse des politiques internes de l’organisation concernant la gestion des données, y compris les règles de confidentialité, de contrôle d’accès, et de gestion des incidents.
- Formation et sensibilisation des employés : Vérification que le personnel est régulièrement formé et conscient des risques liés à la protection des données personnelles.
- Gestion des accès : Contrôle des droits d’accès aux données personnelles pour s’assurer que seules les personnes autorisées y ont accès. Procédures en cas de violation de données : Examen des procédures en place pour détecter, rapporter et gérer les violations de données.
2.4. Conformité des transferts de données hors UE
Si des données personnelles sont transférées en dehors de l’Union Européenne dans le cadre du traitement audité, il est indispensable de s’assurer que :
- Le pays destinataire offre un niveau de protection adéquat au sens du RGPD
- Des garanties appropriées (clauses contractuelles types, règles d’entreprise contraignantes…) encadrent le transfert
- Les personnes concernées ont été informées de ce transfert et des garanties prises
En auditant ainsi chaque traitement sous le prisme des différentes exigences du RGPD, vous serez en mesure d’identifier précisément les points de non-conformité et de définir les actions à mettre en œuvre pour y remédier. Des outils d’audit comme Legiscope permettent d’automatiser cette analyse de conformité en générant des rapports d’audit détaillés et personnalisés, traitement par traitement.
Une fois l’ensemble des traitements de données passés au crible, il ne vous restera plus qu’à consolider les résultats de cet audit pour construire votre plan d’action de mise en conformité. C’est ce que nous verrons dans notre dernière partie.
Etape 3: Établir un plan d’action
L’audit RGPD vous a permis de dresser un état des lieux précis de votre conformité en matière de protection des données. Vous avez désormais une vision claire des points forts et des axes d’amélioration de votre organisation. L’étape finale consiste à exploiter ces résultats d’audit pour construire une feuille de route pragmatique et priorisée : votre plan d’action de mise en conformité.
3.1. Consolider et prioriser les actions correctives
La première chose à faire est de compiler l’ensemble des non-conformités et points de risque identifiés lors de l’audit, tous traitements confondus. Pour chaque écart, une action corrective doit être définie pour revenir dans les clous du RGPD. Par exemple :
- Mettre à jour les mentions d’information et formulaires de collecte du consentement
- Revoir les durées de conservation et mettre en place des procédures de purge automatisée
- Sécuriser une application en corrigeant une faille identifiée lors d’un test d’intrusion
- Modifier les contrats des sous-traitants pour y inclure les clauses requises par l’article 28 du RGPD
- Nommer un délégué à la protection des données (DPO) et notifier sa désignation à la CNIL
- Mettre en place les PIA nécessaires et suivre les guidelines correspondantes
- …
Une fois cette liste d’actions établie, il est important de les prioriser en fonction de deux critères :
- Le niveau de risque associé à la non-conformité (gravité x probabilité d’occurrence), afin de traiter en priorité les manquements les plus critiques.
- L’effort nécessaire à la mise en œuvre de l’action (complexité, coûts, délais…), afin d’obtenir des résultats rapides et d’assurer l’adhésion de l’organisation.
Cette priorisation peut être facilitée par l’utilisation d’une matrice de type Eisenhower permettant de visualiser chaque action dans un plan Importance / Urgence.
3.2. Formaliser le plan d’action de mise en conformité
Une fois les actions correctives identifiées et priorisées, il convient de les organiser au sein d’un plan d’action structuré. Ce dernier doit détailler, pour chaque action :
- L’objectif à atteindre et les livrables attendus
- Les responsables en charge du déploiement de l’action
- Les ressources et budgets à allouer
- Le calendrier de mise en œuvre, avec des jalons intermédiaires
- Les indicateurs permettant de suivre l’avancement et de mesurer le succès
Ce plan d’action doit être formalisé dans un document synthétique, facile à partager avec l’ensemble des parties prenantes (direction, métiers, DSI, DPO…). Un outil de gestion de projet peut également être utilisé pour faciliter le suivi et le pilotage du plan dans la durée.
3.3. Mettre en œuvre le plan d’action et assurer le suivi
Une fois validé, le plan d’action de mise en conformité RGPD doit être lancé sans tarder. Sa mise en œuvre nécessite de mobiliser les équipes, de leur donner les moyens d’agir et de coordonner les différents chantiers. Un comité de pilotage dédié, réunissant les différentes parties prenantes, peut être mis en place pour assurer le suivi régulier de l’avancement du plan.
Il est important de garder à l’esprit que la conformité RGPD est un processus d’amélioration continue. Votre plan d’action aura donc vocation à être régulièrement mis à jour, au gré des évolutions de votre organisation et de vos traitements de données. Les audits de conformité doivent être répétés périodiquement pour mesurer les progrès accomplis et identifier de nouveaux axes de progrès.
Des outils comme Legiscope permettent d’industrialiser cette démarche en automatisant les audits RGPD et en centralisant le pilotage de votre plan d’action. Vous pouvez ainsi obtenir une vision dynamique de votre conformité, traitement par traitement, et suivre l’avancement de votre programme en temps réel.
En conclusion, l’audit RGPD est une étape fondamentale pour engager votre organisation dans une démarche pérenne de protection des données. En identifiant vos points de non-conformité et en définissant un plan d’action concret et priorisé, vous serez en mesure de réduire vos risques, de vous mettre en règle avec le règlement européen et de faire de la privacy un véritable atout pour votre organisation.