Comment mener un audit RGPD ?

• Thiebaut Devergranne

Comment mener un audit RGPP s’assurer que le règlement européen est bien implémenté dans votre organisation ? Voici quelques conseils qui devraient pouvoir vous aider :

Si vous voulez aborder un projet de conformité sérieusement, il est essentiel de suivre une formation sur le sujet car le RGPD est une règlementation complexe, et sans une formation adaptée, vous ne disposerez pas d’une matrice de risque, qui vous permettra de déterminer les priorités pour votre organisation. Le point essentiel, est de savoir déterminer ou sont les risques réels pour votre organisation, de sorte de passer du temps à travailler sur ces risques pour les éliminer.

La première étape est de recenser l’ensemble des traitements de donnée personnelle qui sont opérés par l’organisation. Mais attention, recenser un traitement de données à caractère personnel, cela ne veut pas dire recenser les données personnelles ! On indique sur un registre par exemple que l’entreprise met en place une newsletter pour ses clients. On ne recense pas l’ensemble des emails des personnes qui sont inscrites à la newsletter…

Pour cela, on peut partir des applications logicielles par exemple, mais cela ne nous donne pas systématiquement la liste de tous les traitements, car on peut utiliser plusieurs applications pour réaliser un même traitement. Ensuite en général on réalise une série d’interviews qui ont pour objectif d’étoffer cette liste.

Voici un exemple de liste de traitements souvent opérés par les organisations :

  • Site Internet
  • Paie
  • Plan de continuité
  • Liste de partenaires
  • Contrôle d’accès aux locaux
  • Cantine
  • Monétique
  • Vidéo surveillance
  • Géolocalisation de véhicules
  • Postes de travail
  • Facturation
  • Embauche (CV…)
  • Outils de prospection commerciale
  • Traçabilité des actions informatiques
  • Gestion d’accès des sauvegardes
  • Logs de serveurs
  • Centrale téléphonique

L’avantage d’une formation est que vous ne passez pas de temps à deviner quels sont les traitements qui sont utilisés, mais vous partez de listes standard de traitements types comme illustré ci-dessous :

Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

  1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
  2. Finalités du traitement
  3. Description des catégories de personnes concernées et des catégories de données à caractère personnel
  4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
  5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées
  6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
  7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

A partir de là, on peut commencer à déployer des process de conformité pour chaque traitement. Une manière plus intelligente de travailler consiste à déployer des process différenciés en fonction des risques. Cela permet de déployer des ressources là ou l’organisation a vraiment des risques, et aller plus vite pour les traitements qui n’en présentent pas. En pratique, cela vous permet de gagner un temps considérable, si vous utilisez des logiciels de gestion de registre qui disposent de ces fonctionnalités.

Le travail de recensement des traitements est assez important et long à faire. Une fois que celui-ci a été mis en place, il est important de faire réaliser un audit (interne ou externe) pour les traitements les plus sensibles. Cela permet de s’assurer que les risques réels qu’encourt l’organisation ont bien été maîtrisés.


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)