Audit RGPD : une étape de la mise en conformité

La mise en conformité avec le RGPD est une obligation pour tous les établissements : publics ou privés. Mais la tâche s’annonce difficile étant donné les nombreuses nouveautés apportées par le nouveau règlement sur la protection des données. Afin de répondre aux exigences de ce nouveau règlement, il sera plus qu’opportun de réaliser des audits RGPD. Ces audits vont par la suite permettre de mettre en place les mesures nécessaires pour respecter le nouveau règlement européen.

Par où commencer ?

La réalisation d’un audit RGPD passe par plusieurs étapes. La première consiste à discuter des questions liées à la protection des données personnelles aux différents échelons de l’entreprise. Les interviews menées permettront de faire un état des lieux de la politique de protection des données par rapport au RGPD. Le but est de faire une évaluation objective conduisant à la conception d’une liste des points de non-conformité. C’est à partir de cette opération qu’on pourra par la suite définir un plan d’action applicable sur le court terme et sur le long terme. Précisons qu’un bon audit de conformité doit se baser sur un référentiel, lui-même inspirer des recommandations et des guides proposés par la CNIL, l’autorité en charge de contrôler la conformité des établissements avec le RGPD.

Quels sont les points à vérifier ?

Un audit RGPD va permettre de vérifier différents points de la politique de protection des données de l’entreprise. Une première étude portera sur l’ensemble des traitements. Concrètement, cette étape consistera à cartographier l’ensemble des traitements de données personnelles. Les résultats de la cartographie vont par la suite permettre de mesurer l’impact du RGPD sur l’activité de l’entreprise. Après la cartographie, on devrait facilement accéder à des informations comme : la catégorie des données, les objectifs des traitements, les acteurs intervenants dans les traitements, les destinations des données (transferts hors de l’UE), les risques inhérents à chaque type de traitement…

Rédaction d’un rapport de conformité

Une fois l’étude de votre système de protection de données réalisée, viendra alors l’étape de la rédaction d’un rapport de mise en conformité RGPD. Ce rapport contient les actions palliatives à mettre en œuvre pour aider l’entreprise à se conformer au RGPD. Un plan d’action est suggéré pour permettre des progrès rapides. Ce plan d’action rappelle la criticité, les difficultés de mise en œuvre des actions et précise la part de travail que doit accomplir chacune des hiérarchies au sein de l’entreprise.

Les enjeux

Le RGPD s’appliquera pleinement à partir du 25 mai 2018. Et les établissements qui ne respecteront pas les nouvelles normes s’exposeront à de graves sanctions : des amendes financières relativement importantes. 10 millions d’euros d’amendes ou 2% du chiffre d’affaires annuel mondial (cas d’une entreprise) pour les manquements au Privacy By Design, Privacy by Default ou encore en matière de PIA. 20 millions d’euros ou 4% du chiffre d’affaires mondial (cas d’une entreprise) pour les manquements aux droits des personnes : droit d’accès, droit de suppression, droit à l’oubli, droit de rectification…