Les clés pour réussir son audit RGPD par DEROULEZ AVOCATS

Les clés pour réussir son audit RGPD

AUDIT

AUDIT

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;

  • de suivre les différents traitements de données et leur historique ;

  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;

  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;

  • de vérifier le niveau de sécurité des données et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL[1] comme d’autres autorités de contrôles (l’ICO[2] britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobilier autour de ce projet ;

  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;

  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;

  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;

  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;

  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;

  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;

  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;

  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;

  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;

  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque ;

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Le cabinet DEROULEZ AVOCAT vous accompagne dans la réalisation de votre audit RGPD et reste à votre disposition pour toutes vos questions.

[1]https://www.cnil.fr/fr/les-labels-cnil

[2]https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf