Audit RGPD : une des premières actions pour se mettre en conformité
À partir du 25 mai 2018, le Règlement Général sur la Protection des Données sera pleinement applicable. Avant l’arrivée de cette date, les entreprises devront tout mettre en œuvre pour renforcer leur système de protection des données personnel. À défaut, des sanctions financières prononcées par la CNIL pouvant atteindre les 20 millions d’euros seront appliquées. Pour se mettre en conformité avec le RGPD, il sera particulièrement important, après la désignation d’un DPO, de réaliser un audit RGPD ou audit de conformité. Cela permettra de rassurer les tiers et d’obtenir une certification auprès de la CNIL.
Désignation d’un Délégué à la protection des données, préalable de la réalisation d’un audit RGPD
Avant la réalisation d’un audit RGPD, il faut tout d’abord désigner un DPO. Sa fonction est de piloter et de structurer la procédure de gestion des données personnelles au sein de l’entreprise. Pour mener à bien ses missions, il travaille en étroite collaboration les responsables du service informatique de l’entreprise. La désignation d’un DPO permet de structurer la gouvernance des données et de déterminer les premières mesures à mettre en place pour sensibiliser le personnel et optimiser le système de protection des données.
Réalisation d’un audit RGPD
Cartographie des traitements
Une fois le DPO désigné, il faudra réaliser un audit RGPD ou un audit de conformité. C’est sans doute l’étape la plus importante de l’étape transitoire vers la mise en conformité. L’audit doit surtout permettre de concevoir une cartographie précise des données. Il doit également aider à recenser la finalité de chaque traitement, identifier les responsables du traitement ainsi que les destinataires des données en cas de transferts en dehors de l’UE. À part tout cela, l’audit RGPD donne une compréhension claire de l’usage, de la conservation et de la disparition des données traitées. Pour des résultats pertinents, un audit RGPD doit se faire en partenariat avec certains services au sein de l’entreprise : Direction Générale, DSI, RSSI, Ressources Humaines, Service Marketing, Service Commercial, et bien évidemment, DPO.
Analyse des risques
Durant un audit RGPD, une attention particulière sera aussi portée sur les risques pour les données personnelles. Il faut rappeler que l’analyse de risques (analyse d’impact) est obligatoire à partir du moment où un traitement sera susceptible d’engendrer des risques importants pour les droits et libertés des personnes physiques. C’est notamment le cas pour les traitements basés sur le profiling ou encore les traitements à très grande échelle.
Formalisation des recommandations
La fin de l’audit RGPD sera marquée par la formalisation des mesures à mettre en œuvre pour résoudre les problèmes de non-conformités. Le plan d’action est présenté à la direction. Parallèlement à l’audit RGPD, les entreprises devront concevoir une documentation précise sur la procédure qu’elles utilisent pour gérer leurs données (principe d’accountability).
Certification de la CNIL
La CNIL, l’organe chargé de contrôler la conformité avec le RGPD, encourage fortement la réalisation d’un audit RGPD. Une fois, le nouveau règlement pleinement effectif, les entreprises qui auront réalisé un audit RGPD obtiendront une certification : label Gouvernance.