Comment réaliser un audit RGPD ?
Depuis la mise en application de la loi de 2018 sur le RGPD, nombreuses sont les entreprises qui doivent assurer leur conformité avec le traitement des données personnelles. Pour ce faire, un audit RGPD mené par un DPO est un incontournable. CODPO met à votre disposition dans cet article toutes les informations à connaître pour savoir comment réaliser ce diagnostic.
Focus sur l’audit RGPD
Avant toute chose, il peut être intéressant de fournir une brève définition de ce qu’est un audit RGPD. Il consiste en réalité en la réalisation d’un état des lieux sur le traitement des données personnelles collectées par une entreprise. Il permet de cartographier les éléments phares pour la constitution d’un plan d’actions qui permettra la mise en conformité de la structure au regard du RGPD.
Ainsi, l’audit peut porter sur différents points comme :
- les systèmes de collecte des données personnelles
- les traitements des données
- la sécurité des données
- le système d’information
Les rôles multiples de l’audit RGPD
Les rôles de l’audit RGPD sont nombreux. La vocation première est avant tout de permettre la mise en conformité de la structure avec le Règlement Général sur la Protection des Données. Pour ce faire, l’élaboration d’une feuille de route est indispensable. Il s’agit en réalité d’un plan d’actions de mise en conformité. Lors de la réalisation de cet état des lieux, voici quelques points qui seront soulevés :
- détermination des risques et des manquements en termes de sécurité
- contrôle des écarts entre le RGPD et ce qui est réalisé ou non au sein de l’entreprise
- établir les actions à instaurer pour une parfaite conformité
Il faut savoir que cet audit est en réalité un outil qui permet à l’entreprise de s’améliorer sur le traitement des données à caractère personnel qu’elle a en sa possession. Un non respect du RGPD peut entraîner des sanctions.
Quand faire un audit RGPD ?
Il est possible de mener un audit RGPD dans plusieurs cas de figure. Voici les situations les plus courantes :
- pour contrôler le bon traitement des données : il peut être intéressant de faire un audit par an
- au début d’une démarche de mise en conformité du système complet de traitement des données
- si une modification de taille a lieu comme ce peut être le cas avec l’acquisition d’une nouvelle entreprise par exemple ou encore le changement de logiciel…
- dès lors que la mise en conformité est achevée
Les étapes de déroulement d’un audit RGPD
Il est possible de décomposer le déroulement d’un audit RGPD en plusieurs phases :
- identifier quelles sont les données personnelles : cela peut se faire par le biais d’un registre des traitements
- contrôler que les droits des personnes concernées par ces données récoltées sont bien respectés
- comment se fait la gestion des données collectées dans la base
- la sécurisation des données
Pour pouvoir effectuer correctement ce travail, un DPO interne, externe ou mutualisé sera indispensable. Il se chargera de faire l’audit aussi bien sur la partie technique que juridique et s’adressera aux bonnes personnes de l’entreprise (responsable informatique, juriste, membre de la direction…). Il pourra également rédiger les registres de traitement, les répertoires de sous-traitant ou encore effectuer une analyse d’impact.