Le RGPD est la référence européenne en matière de traitement des données personnelles. Si toutes les entreprises doivent s’y conformer, il n’est parfois pas simple de savoir si vous respectez bien toutes ses directives et obéissez au cadre réglementaire. La solution ? Un audit RGPD. Focus sur ce contrôle indispensable à votre mise en conformité RGPD.
Qu’est-ce qu’un audit RGPD ?
Un audit RGPD est une analyse de vos pratiques en matière de gestion des données personnelles. Son objectif est de contrôler si vous respectez les obligations qui vous incombent en la matière, en clair, si votre structure est bien en conformité avec le RGPD. Il s’agit de vérifier si votre système existant de traitement des données est conforme, sécurisé et fiable, ainsi que de corriger ses éventuelles lacunes. Un audit RGPD mené par un professionnel vous permet de dresser un bilan de vos bonnes ou mauvaises pratiques, ainsi que d’établir un plan d’action concret pour traiter et stocker les données personnelles conformément à la loi.
Qu’est-ce qui est contrôlé pendant un audit RGPD ?
Toutes les structures ne sont pas impactées de la même façon par le RGPD. Certains secteurs d’activité sont en effet plus sensibles que d’autres (secteur médical par exemple). De la même façon, certaines entreprises collectent énormément de données quand d’autres n’en collectent que peu. Si ces différences influencent le volume de travail à effectuer et le temps à allouer à l’audit, ce dernier porte toutefois a minima sur les points suivants :
- L’identification des données personnelles traitées par votre entreprise ;
- La façon dont vous gérez ces données ;
- La documentation des données (par exemple, tenez-vous un registre de traitement ?) ;
- Le respect des droits des personnes concernées ;
- La sécurité des données personnelles.
Les grandes étapes d’un audit RGPG
1. L’audit informatique
Il consiste à dresser une cartographie de votre système d’information, du volume de données qui circulent dans votre entreprise et des personnes qui y ont accès. C’est lors de cette étape qu’est contrôlé le stockage des données ou encore votre politique de confidentialité. L’audit informatique porte également sur les pratiques de vos sous-traitants, s’ils existent, et leur conformité avec la réglementation. C’est aussi durant cette étape que sont évalués vos logiciels de gestion des données et outils de stockage, afin d’en déceler les éventuelles failles.
2. L’audit juridique
L’audit juridique a pour but de contrôler la conformité de l’ensemble de votre documentation avec le RGPD. Vos conditions générales de ventes, vos contrats, vos formulaires de contact sont ainsi passés au crible. L’Objectif ? Déterminer si les mentions informatique et libertés qui y figurent sont bien légales.
Qui peut effectuer un audit RGPD ?
Un audit RGPD est un minutieux travail de fond. Cela va sans dire, pour être mené à bien, il requiert une véritable collaboration et une réelle transparence entre l’expert qui en a la charge et l’ensemble du personnel de l’entreprise. D’ailleurs, qui est habilité à mener un audit RGPD ? Dans les grandes entreprises, c’est naturellement une prérogative du Délégué à la protection des données (DPO) interne. Une solution simple, qui peut cependant présenter des inconvénients, par exemple, une objectivité moindre, des conflits d’intérêts… ou des conflits tout court. Par ailleurs, toutes les structures ne possèdent pas de DPO ! Il convient alors de confier votre audit à un Délégué à la protection des données externe.
Le choix d’un DPO n’est pas à prendre à la légère, puisque seul un véritable professionnel peut vous garantir la fiabilité d’un audit. Rappelons que tout manquement au RGPD peut-être lourdement sanctionné. En conclusion, pour avoir l’esprit tranquille, faites appel à un expert/contact qui a fait ses preuves !
