À quelques mois de l’entrée en vigueur du Règlement Général sur Protection des Données, les entreprises devront redoubler d’effort pour accélérer les démarches de conformité déjà réalisées. Pour celles qui sont dans la phase de conception, la réalisation d’un audit RGPD peut leur permettre d’accélérer les choses. Et celles qui sont déjà en avances dans leur procédure de mise en conformité peuvent également réaliser ce type d’audit pour évaluer la performance de leur système de protection. Mais en quoi consiste vraiment un audit RGPD.
RPGD : la nouvelle règlementation sur la protection des données
Le RGPD impose aux entreprises de nombreuses nouvelles obligations. Pour le citoyen lambda, ce nouveau règlement met fin à des pratiques ne prenant pas en considération certains de ses droits fondamentaux : droit à l’image, droit à la vie privée, droit à l’oubli, consentement, droit à l’information… Si ce nouveau règlement est une bonne nouvelle pour l’internaute, il l’est moins pour les entreprises. Ces dernières devront réaliser des investissements assez conséquents pour se mettre en conformité avec le RGPD. Il est quand même question de revoir tout l’ensemble du processus de gestion des données personnelles. Cela peut affecter le fonctionnement de l’entreprise, et ce, à tous les niveaux : service commercial, service marketing, direction… Mais avant d’entreprendre des modifications, il faut d’abord faire un état des lieux de la situation de l’entreprise en matière de protection des données. Et cet état des lieux, on l’obtient à partir d’un audit RGPD.
Sur quoi va porter l’audit RGPD
Si l’on fait une synthèse, l’audit RGPD 2018 se divise en 2 grands points : audit informatique et libertés et audit juridique.
Audit informatique et libertés
L’audit informatique et liberté concerne l’analyse de la légalité des traitements de données réalisés par l’entreprise. Cette analyse nécessitera la réalisation de la cartographie de tous les traitements. Cette opération permettra de recenser et de visualiser tous les points d’entrée et de traitement des données. Elle permettra également d’obtenir une vision globale de la masse de données en circulation dans l’entreprise. L’audit informatique et liberté peut aussi porter sur l’étude de la légalité des déclarations effectuées par l’entreprise, des garanties des droits des personnes, les partages et les transferts des données et enfin les procédures internes de collecte et de sécurité des données.
Audit juridique
L’audit juridique a pour but d’évaluer la conformité de la documentation de l’entreprise avec le RGPD. Cette autre facette de l’audit RGPD portera sur l’étude de la légalité de mentions informatiques et libertés des Conditions Générales de Ventes ainsi que sur la légalité des mentions informatiques et libertés des principaux contrats. À part cela, l’audit juridique portera également sur l’analyse de la légalité des mentions obligatoires à faire figurer sur les formulaires de contact et des clauses contractuelles touchant au traitement des données.
Conception d’un plan d’action
La réalisation d’un audit RGPD donnera une vision claire de l’écart entre la loi et les mesures de protection des données mise en place au sein de l’entreprise. Elle aidera aussi à concevoir un plan d’action efficace pour résoudre les différents points de non-conformités.
À propos de l’auteur