Comment réaliser un audit RGPD ?

L’audit RGPD est un diagnostic de conformité au RGPD de votre entreprise. L’opération permet de faire un état des lieux de votre niveau de conformité et de mettre au point un plan d’action de mise en conformité pour traiter les problèmes pouvant apparaître.

Collecte des données, recueil du consentement, stockage et sécurisation des données, traitement… tous les aspects du RGPD sont scrutés à la loupe dans le cadre de l’audit RGPD.

Pour rappel, ce diagnostic vous concerne dès que vous êtes touché par le RGPD. Celui-ci s’applique pour toutes les entreprises européennes et pour toutes les entreprises non-européennes qui traitent les données de résidents européens.

Voyons maintenant en quoi consiste plus précisément l’audit RGPD et comment bien le mener.

Rappel sur la définition de l’audit RGPD

L’audit RGPD, on l’a dit, est un diagnostic de l’ensemble de vos process et dispositifs par rapport au RGPD.

Ce projet comporte trois objectifs. Premièrement, il s’agit de repérer les écarts entre les obligations du RGPD et la pratique : autrement dit, existe-t-il des manquements ? Que peut-on améliorer dans la protection des données ou dans le respect de telle ou telle obligation ?

Deuxièmement, l’idée est d’identifier des zones de risque plus importants : existe-t-il des manquements qui font porter un risque plus grave à la vie privée des personnes concernées ? En cas de contrôle de la CNIL, quels éléments peuvent potentiellement entraîner des difficultés ?

Enfin et troisièmement, le point d’arrivée de l’audit RGPD est la construction d’un plan d’action qui a pour objectif de corriger les éventuels dysfonctionnements repérés et d’améliorer vos process. C’est la mise en conformité RGPD en tant que telle.

Encore faut-il savoir comment s’y prendre et plus concrètement quelles facettes de votre organisation étudier.

Audit RGPD : Collecte et consentement

La première phase du cycle de la donnée à observer est celle de la collecte des données. Pour rappel, celle-ci peut s’opérer en s’appuyant sur divers fondements validés par le RGPD.

En pratique et lorsqu’il s’agit de données personnelles de vos clients ou visiteurs, c’est le plus souvent le fondement du consentement qui est invoqué.

Il est donc essentiel de bien vérifier que le recueil du consentement de la part de vos utilisateurs se fait conformément aux règles du RGPD.

Sans entrer ici dans les détails : utilisez-vous une CMP pour recueillir et stocker la preuve du consentement de vos utilisateurs ? Celle-ci est-elle bien paramétrée ? L’information donnée à vos clients est-elle suffisante ? Est-elle claire et sans jargon juridique ou technique ? La collecte des données correspond-elle à une finalité licite et légitime ? Est-elle proportionnée à la réalisation de cet objectif ?

Voici (la liste est non exhaustive) les principales questions à vous poser à cette étape de l’audit RGPD.

Diagnostic du système d’information

Ce deuxième pan de votre audit RGPD correspond à une cartographie de vos systèmes d’information. Il s’agit de savoir où sont stockées les données personnelles, comment elles circulent et comment elles sont protégées.

Il faut donc à la fois prendre en compte les systèmes d’information et les flux entre ces systèmes, à la fois en interne et avec l’extérieur de l’entreprise.

Pour aller plus loin, l’idée est de cartographier également les dispositifs de protection des données qui sont mis en place. Il s’agira notamment des mesures de cybersécurité qui sont installées et des différents dispositifs de lutte contre les attaques, les vols et les fuites de données.

Cette étape est aussi l’occasion de lister les différentes catégories de données et leur positionnement dans l’architecture à toutes les étapes de leur parcours : collecte, traitement, stockage, éventuellement archivage.

Ce diagnostic vous donne une idée claire de vos systèmes d’information et de leur potentielle exposition. Le RGPD impose en effet de garantir la protection des données collectées et traitées. Cela passe par des mesures de protection spécifiques comme le chiffrement des données ou leur pseudonymisation, par exemple.

Audit RGPD des traitements de données

Continuons dans le cycle de la donnée. Après les avoir collectées et avoir étudié comment elles sont conservées, il est tant d’analyser comment les données sont traitées.

D’abord, il convient de vérifier dans quelle mesure le traitement des données correspond à leur finalité. Y a-t-il des données qui sont collectées et qui ne sont pas utiles pour remplir l’objectif poursuivi ? La finalité sur laquelle se fonde la collecte est-elle remplie et donc obsolète ?

Par ailleurs, il s’agit également d’étudier comment les données sont traitées. Cette phase d’audit RGPD pourra évoluer dans le temps et servir de base au registre des traitements qui doit être tenu sur la durée.

Le plan d’action comme résultat du diagnostic de conformité

L’audit RGPD n’est pas une fin en soi mais permet d’établir un plan d’action de mise en conformité au RGPD. L’objectif est de déduire des observations réalisées une série d’actions et de chantiers à mener pour améliorer le niveau de protection des données dans l’entreprise.

Ces actions seront catégorisées et surtout priorisées : certains risques identifiés peuvent être plus importants que d’autres, soit en raison de leur niveau de vraisemblance (probabilité que l’événement à risque survienne) soit en raison de leur gravité. Ces mesures sont évidemment à mettre en priorité.

On retrouve alors une logique proche de la méthode de l’AIPD, appliquée cette-fois ci à l’ensemble des processus.

Si vous souhaitez vous doter d'un outil pour mener à bien vos audits, Witik est fait pour vous ! Découvrez tous les bénéfices : gain de temps, automatisation, collaboration, etc.