Depuis le 25 mai 2018, le règlement général sur la protection des données ou RGPD est entré en application.
Petit rappel : le RGPD a été établi par l’Union Européenne. C’est un règlement de 99 articles qui a pour but, dans un premier temps d’assurer la protection des informations personnelles des utilisateurs (ou internautes) et dans un second temps d’obliger les entreprises à mettre en place des moyens et des solutions techniques renforçant la protection des données personnelles collectées, de définir leurs durées de conservation, et dans quel but.
Pour le citoyen lambda ce nouveau règlement met fin à des pratiques ne prenant pas en considération certains de ses droits fondamentaux : droit à l’image, consentement, droit à l’oubli etc.
La mise en conformité des entreprises avec le RGPD demande une véritable expertise technique. La réalisation d’un audit vous permet donc de vérifier et de contrôler si la politique de gestion des données et les procédures de stockages d’une société sont conformes à ce règlement et ainsi de les modifier en conséquence.
C’est l’ensemble du processus de gestion des données personnelles qui est contrôlé. Ces audits sont réalisés par des spécialistes et se déroulent généralement de façon similaire. Ils n’ont pas pour but de sanctionner mais ils permettent d’établir un bilan concret et d’apporter des solutions précises en cas de défaillance de la politique de protection des données.
Comment se déroule un audit RGPD ?
L’audit RGPD 2018 se divise en deux grands points essentiels :
- Dans un premier temps, l’audit informatique et liberté.
- Et dans un second temps, l’audit juridique
L’audit informatique et liberté
Cette analyse permet d’obtenir un aperçu global de la masse des données circulant dans l’entreprise.
Il semble primordial de sensibiliser l’ensemble des métiers concernés aux enjeux et aux risques du RGDP. C’est une opération de grande ampleur, car elle porte sur tous les services d’une entreprise. L’audit se déroule au sein même de la société demandeuse et dure entre 5 et 10 jours selon la taille de celle-ci.
Il est important dans un premier temps de déléguer un collaborateur à la protection des données. Ce sera l’interlocuteur unique qui aura pour mission de faire l’inventaire et de réaliser une cartographie précise du traitement des données de l’entreprise. Il pourra ainsi élaborer un registre de traitement, identifier les sources, la durée de leur conservation, leur destinataire, enfin bref en établir une nomenclature précise et un recensement complet.
Au-delà des données il faut établir également et précisément les noms de tous les systèmes pour l’analyse de ces données collectées. C’est un travail fastidieux qui demande rigueur et précision.
Dans un second temps le stockage des données doit être évalué. C’est la politique de confidentialité de la société qui doit être décortiquée et vérifiée afin de juger si elle présente des failles de sécurité ou des points divergents avec le règlement de la RGPD. La durée de conservation des données est vérifiée et les bases légales de traitements subissent également un contrôle de conformité.
Il faut également analyser, en cas de sous-traitance si les méthodes de travail des partenaires prennent en considérations les nouvelles obligations imposées par le règlement sur la protection des données. L’entreprise sous–traitante reste responsable des données quelle partage même en cas de délégation.
Les noms des personnes qui ont accès aux informations personnelles des fichiers clients doivent être inventoriés de façon précise et mis à jour régulièrement.
L’audit RGPD doit aussi vérifier l’efficacité des systèmes de protection des données de l’entreprise.
C’est un aspect très technique puisqu’il évalue les outils informatiques utilisés comme :
- les logiciels de gestion
- le matériel de stockage des données etc.…
L’audit vérifiera aussi la manière dont sont utilisées ces données. A quoi servent-elles ? Quelles sont leurs finalités : Pour la réalisation d’opération commerciale, pour la prévision ou encore pour l’analyse.
Toutes ces vérifications nécessitent une véritable collaboration entre les experts réalisant l’audit et le personnel de la société, une transparence totale est indispensable.
L’audit juridique
L’audit juridique a pour but de contrôler la conformité de la documentation de l’entreprise avec le règlement général sur la protection des données.
Cette partie de l’audit RGPD portera sur l’étude de la légalité de mention informatique et liberté des Conditions Générales de vente ainsi que sur la légalité des mentions informatiques et liberté des principaux contrats de l’entreprise.
Une fois cette étude effectuée, l’audit juridique portera son attention également sur l’analyse de la légalité des mentions obligatoires à faire figurer sur les formulaires de contact et des clauses contractuelles, touchant au traitement des données
Réaliser un audit RGPD, un véritable atout !
Attention, il n’existe pas de certification RGPD.
Il est nécessaire pour chaque entreprise de mettre en place sa propre certification qui servira de « code interne » pour le traitement des données personnelles.
La réalisation d’un audit RGPD est une véritable assistance pour les entreprises.
Les nouvelles obligations imposées par le règlement de la protection des données poussent les sociétés à se mettre en conformité. Au vu des nouvelles réglementations un bilan concernant la protection des données semble parfois nécessaire. L’opération demande la contribution de tout le personnel et les intervenants d’une société : Dirigeant, Service Info, Marketing … créant une vraie prise de conscience et un réel investissement.
Au terme de cet audit, un bilan détaillé précisant toutes les non-conformités : comme une politique de confidentialité trop laxiste ou encore du matériel obsolète etc. est fourni à la société ainsi qu’un plan d’action détaillant les actions à réaliser pour résoudre les différents points défaillants relevés durant l’audit.
L’audit est à coup sûr une garantie de mise en conformité sûre et rapide. Il est l’occasion également de faire le nettoyage de toutes les données stockées à tort ou à raison. C’est aussi l’occasion de retravailler leur gestion, d’envisager et de mettre en œuvre des moyens plus performants pour les protéger et surtout de tranquilliser sa clientèle. Le véritable enjeu de cet audit est de donner une valeur ajoutée à votre activité en respectant les enjeux de confidentialité des données personnelles.
