Comment mener un audit RGPD ?

    Comment mener un audit RGPP s’assurer que le règlement européen est bien implémenté dans votre organisation ? Si vous voulez être guidé pas à pas, le mieux est d’utiliser un logiciel RGPD qui va vous fabriquer automatiquement votre reigster ainsi que les check-list nécessaires pour que vous puissiez avancer rapidement. Voici cependant quelques conseils qui devraient pouvoir vous aider :

    {% youtube ZFjQudYA-bM %}

    Si vous voulez aborder un projet de conformité sérieusement, il est essentiel de suivre une formation sur le sujet car le RGPD est une règlementation complexe, et sans une formation adaptée, vous ne disposerez pas d’une matrice de risque, qui vous permettra de déterminer les priorités pour votre organisation. Le point essentiel, est de savoir déterminer ou sont les risques réels pour votre organisation, de sorte de passer du temps à travailler sur ces risques pour les éliminer.

    La première étape est de recenser l’ensemble des traitements de donnée personnelle qui sont opérés par l’organisation. Mais attention, recenser un traitement de données à caractère personnel, cela ne veut pas dire recenser les données personnelles ! On indique sur un registre par exemple que l’entreprise met en place une newsletter pour ses clients. On ne recense pas l’ensemble des emails des personnes qui sont inscrites à la newsletter…

    Pour cela, on peut partir des applications logicielles par exemple, mais cela ne nous donne pas systématiquement la liste de tous les traitements, car on peut utiliser plusieurs applications pour réaliser un même traitement. Ensuite en général on réalise une série d’interviews qui ont pour objectif d’étoffer cette liste.

    Voici un exemple de liste de traitements souvent opérés par les organisations :

    • Site Internet
    • Paie
    • Plan de continuité
    • Liste de partenaires
    • Contrôle d’accès aux locaux
    • Cantine
    • Monétique
    • Vidéo surveillance
    • Géolocalisation de véhicules
    • Postes de travail
    • Facturation
    • Embauche (CV…)
    • Outils de prospection commerciale
    • Traçabilité des actions informatiques
    • Gestion d’accès des sauvegardes
    • Logs de serveurs
    • Centrale téléphonique

    L’avantage d’une formation est que vous ne passez pas de temps à deviner quels sont les traitements qui sont utilisés, mais vous partez de listes standard de traitements types comme illustré ci-dessous :

    Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

    1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (DPO)
    2. Finalités du traitement
    3. Description des catégories de personnes concernées et des catégories de données à caractère personnel
    4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
    5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées
    6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
    7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

    A partir de là, on peut commencer à déployer des process de conformité pour chaque traitement. Une manière plus intelligente de travailler consiste à déployer des process différenciés en fonction des risques. Cela permet de déployer des ressources là où l’organisation a vraiment des risques, et aller plus vite pour les traitements qui n’en présentent pas. En pratique, cela vous permet de gagner un temps considérable, si vous utilisez des logiciels de gestion de registre qui disposent de ces fonctionnalités.

    Le travail de recensement des traitements est assez important et long à faire. Une fois que celui-ci a été mis en place, il est important de faire réaliser un audit (interne ou externe) pour les traitements les plus sensibles. Cela permet de s’assurer que les risques réels qu’encourt l’organisation ont bien été maîtrisés.

    Thiébaut Devergranne
    Thiébaut Devergranne
    Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

    Ils nous ont fait confiance

    logo Deloitte
    logo starbucks
    logo orange bank
    logo vinci
    logo nokia
    logo sanofi
    logo sncf
    Automatisez votre conformité RGPD
    Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
    VOS CGV (gratuites)