Comment réaliser un audit RGPD ?

Avant toute chose, il peut être intéressant de fournir une brève définition de ce qu’est un audit RGPD. Il consiste en réalité en la réalisation d’un état des lieux sur le traitement des données personnelles collectées par une entreprise. Il permet de cartographier les éléments phares pour la constitution d’un plan d’actions qui permettra la mise en conformité de la structure au regard du RGPD.

Ainsi, l’audit peut porter sur différents points comme :

• les systèmes de collecte des données personnelles
• les traitements des données
• la sécurité des données
• le système d’information

Réaliser un audit RGPD est une des premières étapes qui permet de se mettre en conformité avec les obligations imposées dans le règlement. Ce diagnostic a également pour vocation d’identifier et prioriser les actions à mettre en œuvre pour être aux normes en matière de RGPD. Il permet de dresser un véritable plan d’actions.

Les rôles de l’audit RGPD sont nombreux. La vocation première est avant tout de permettre la mise en conformité de la structure avec le Règlement Général sur la Protection des Données. Pour ce faire, l’élaboration d’une feuille de route est indispensable. Il s’agit en réalité d’un plan d’actions de mise en conformité. Lors de la réalisation de cet état des lieux, voici quelques points qui seront soulevés :

• détermination des risques et des manquements en termes de sécurité
• contrôle des écarts entre le RGPD et ce qui est réalisé ou non au sein de l’entreprise
• établir les actions à instaurer pour une parfaite conformité

Il faut savoir que cet audit est en réalité un outil qui permet à l’entreprise de s’améliorer sur le traitement des données à caractère personnel qu’elle a en sa possession. Un non respect du RGPD peut entraîner des sanctions.

La réalisation d’un audit RGPD peut s’avérer complexe. De plus, il est indispensable de disposer de compétences sur le plan technique comme juridique pour pouvoir mener à bien une telle expertise. C’est pourquoi il reste fortement conseillé de faire appel à un professionnel. Généralement, le Délégué à la Protection des Données se charge de cette mission, qu’il soit interne à l’entreprise ou bien que vous passiez par un professionnel externe à votre société. Il est encore possible de faire appel aux savoirs d’un avocat spécialisé en droit de l’internet.

Il est possible de mener un audit RGPD dans plusieurs cas de figure. Voici les situations les plus courantes :

• pour contrôler le bon traitement des données : il peut être intéressant de faire un audit par an
• au début d’une démarche de mise en conformité du système complet de traitement des données
• si une modification de taille a lieu comme ce peut être le cas avec l’acquisition d’une nouvelle entreprise par exemple ou encore le changement de logiciel…
• dès lors que la mise en conformité est achevée

Il est possible de décomposer le déroulement d’un audit RGPD en plusieurs phases :

• identifier quelles sont les données personnelles : cela peut se faire par le biais d’un registre des traitements
• contrôler que les droits des personnes concernées par ces données récoltées sont bien respectés
• comment se fait la gestion des données collectées dans la base
• la sécurisation des données

Pour pouvoir effectuer correctement ce travail, un DPO interne, externe ou mutualisé sera indispensable. Il se chargera de faire l’audit aussi bien sur la partie technique que juridique et s’adressera aux bonnes personnes de l’entreprise (responsable informatique, juriste, membre de la direction…). Il pourra également rédiger les registres de traitement, les répertoires de sous-traitant ou encore effectuer une analyse d’impact.

Pour réaliser un audit RGPD, plusieurs éléments seront passés au crible. En effet, différents diagnostics sont embarqués au sein d’un même audit. Voici les points qui seront donc contrôlés.

Dans un audit RGPD, une partie portera sur la sécurisation des données personnelles ainsi que sur leur stockage. Cette étape de l’audit vise à établir les éventuels risques qui peuvent exister.

Il est ici question de risques technologiques pouvant toucher les outils, les réseaux, les bases de données ou encore les flux arrivants et sortants de données.

Parmi les points incontournables de l’audit RGPD, il est possible de citer l’audit des traitements des données personnelles. Cette analyse se décompose en deux étapes. La première consiste à déterminer la destination des données collectées.

Dans un second temps, il faudra alors déterminer comment les données recueillies sont utilisées et quel type de traitement elles reçoivent.

Cette analyse permet en réalité d’établir une sorte de cartographie des traitements. Durant cette phase, les données inutiles seront également mises en avant afin de respecter le principe de minimisation des données.

Afin d’être conforme aux règles, l’audit RGPD doit comporter une partie sur les méthodes de collecte utilisées. Ainsi, il faudra mettre en exergue toutes les sources utilisées pour la collecte de données personnelles puis de vérifier si le consentement de l’utilisateur est bien recueilli.

L’audit RGPD se compose également d’une vérification du système d’information. Il a alors pour principe de créer une cartographie des systèmes de données ainsi que des flux qui peuvent exister entre ces derniers.

Ainsi, la localisation des informations dans le système informatique est parfaitement claire. C’est également durant cette phase qu’un inventaire des données est établi.