En route vers la conformité grâce à cette méthode d’audit RGPD en 6 étapes

Depuis 2016, la grande majorité des entreprises et organisations de l’UE sont soumises au Règlement Général de Protection des Données, plus connu sous le petit nom de RGPD.

Cette obligation a permis aux entités concernées de remettre en question la manière dont elles collectent et traitent les informations personnelles des individus, alors même qu’internet a complexifié et démultiplié leur circulation.

Mais surtout, les professionnels ont dû intégrer de nouveaux processus dans leur quotidien afin d’assurer leur mise en conformité, à commencer par l’audit RGPD.

En quoi consiste-t-il et comment le réaliser ? Sur quelle aide (humaine ou logicielle) vous appuyer ?

Pour y voir plus clair, découvrez notre exemple d’audit RGPD 🔎.

Pour rappel, le RGPD (pour Règlement Général sur la Protection des Données) est entré en vigueur dans le but de réguler, à l’échelle européenne, la collecte, le traitement et la gestion des données personnelles.

Il concerne :

• toute entité (entreprise, organisme gouvernemental, association à but non lucratif, etc.) située dans l’UE,
• toute entité localisée à l’extérieur, mais traitant des informations d’individus résidant dans l’Union européenne,
• les sous-traitants et fournisseurs de services manipulant de la data pour le compte d’autres organisations.

Le RGPD impose la mise en place de divers processus (recueil du consentement explicite, application du droit à l’information, etc.). Mais la mise en conformité implique forcément de vérifier, à un moment, quelle est la situation de l’entité quant au respect de ses obligations.

👉 C’est là qu’entre en jeu l’audit RGPD.

On distingue cependant deux types d’audit :

• l’audit initial, effectué en début de déploiement des opérations de mise en conformité,
• l’audit de suivi, réalisé périodiquement, puisque le respect du RGPD s’inscrit dans une démarche continue.

🤓 Apprenez-en davantage sur le sujet dans notre article consacré aux 6 étapes clés et 3 outils pour mettre en place sa conformité RGPD.

Pour identifier les lacunes et guider les mesures correctives nécessaires à la conformité, plusieurs diagnostics sont menés, lors de l’audit initial comme lors des audits de suivi.

👉 Les principaux sont :

• le diagnostic du système d’information et des différents outils (logiciels par exemple) présents dans l’organisation,
• le diagnostic du processus de collecte des données personnelles et de gestion des consentements,
• le diagnostic du traitement de ces données (comment sont-elles utilisées et à quelles fins ?),
• le diagnostic de sécurité, visant notamment à protéger les data contre les violations et autres accès non autorisés.

Les raisons d’effectuer un audit RGPD sont nombreuses, puisqu’il sert entre autres :

• à dresser un état des lieux de votre situation actuelle. Vous identifiez ainsi les écarts entre le réel et vos impératifs, et savez quelles tâches accomplir afin d’assurer votre mise en conformité avec le RGPD ;
• à cartographier les données de l’entreprise et à comprendre la manière dont elles sont traitées, pour mieux les administrer ;
• à entrevoir les risques potentiels, et donc à mettre en place les correctifs adaptés.

In fine, l’audit RGPD débouche sur la mise en place d’un plan d’action, décliné lui-même en feuille de route.

💡 À savoir : si l’intérêt de cet audit relève beaucoup du juridique (gare aux sanctions en cas de manquements !), n’oublions pas que le contrôle des données et votre transparence participent à soigner la réputation de l’organisation. Surtout à l’heure où les citoyens sont plus regardants quant à l’usage de leurs informations personnelles !

Commençons par un des principaux aspects réglementés par le RGPD : le mode de collecte des données personnelles.

À cette étape, il vous faut :

• dresser la liste de toutes les sources et tous les modes de collecte employés, par exemple les formulaires web, les cookies, etc.,
• vérifier si cette collecte est légitime, c’est-à-dire si elle entre dans le cadre légal tel que convenu par l’article 6 du RGPD :
  • par le consentement,
  • par une mesure contractuelle,
  • par le respect d’une obligation légale,
  • si le traitement est nécessaire à la sauvegarde d’intérêts,
  • si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
  • si le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

☝️ Toutefois, les entreprises sont surtout concernées par la question du consentement qui, selon la CNIL, doit être :

• libre, autrement dit non contraint ou influencé,
• spécifique, dédié à une finalité déterminée,
• éclairé, ce qui suppose de parfaitement informer l’internaute,
• univoque, ne laissant pas de place à l’ambiguïté.

Il convient ici de faire le point sur tous les outils et dispositifs de votre système d’information qui utilisent, d’une façon ou d’une autre, la donnée. Il s’agit, par exemple, de vos logiciels.

Déterminez ensuite la façon dont cette data se comporte au sein de ce SI, plus précisément :

• quelle est sa nature,
• où elle est stockée,
• comment elle circule, dans l’entreprise comme en-dehors.

Lors de cette étape, on vous conseille de cartographier votre système d’information, pour documenter les renseignements relatifs aux données échangées au sein de la structure, mais aussi aux flux associés.

💡 À savoir : facilitez-vous le travail en recourant à un Référentiel Données Unique, qui centralise toute la data sur vos clients, produits ou autres entités.

Il est temps désormais de comprendre la manière dont les données sont exploitées. Ceci implique deux questionnements :

• Comment sont-elles concrètement utilisées ?
• Et à quelles fins ?

Le fait que le RGPD impose la tenue d’un registre des traitements facilite cette analyse. Ce document doit notamment consigner, conformément à l’article 30, les informations suivantes :

• les finalités du traitement,
• une description des catégories de personnes concernées et des catégories de données à caractère personnel,
• les catégories de destinataires auxquels ces données ont été ou seront communiquées,
• le cas échéant, les transferts de ces données vers un pays tiers ou vers une organisation internationale,
• les délais prévus pour l’effacement des différentes catégories de data,
• une description générale des mesures de sécurité techniques et organisationnelles mises en place.

💡 À savoir : l’audit de traitement constitue aussi une occasion parfaite pour identifier les données non exploitées par l’entreprise, et ainsi « faire un peu de ménage », en accord avec la philosophie RGPD.

Comparable à un audit technique, cette étape consiste à vous assurer que les données conservées dans l’entreprise sont parfaitement protégées.

Plusieurs points attireront alors votre attention. Par exemple :

• les mesures de sécurité de base déployées (antivirus, pare-feux, détection d’intrusion, etc.) sur l’ensemble des actifs, qu’il s’agisse d’appareils, de logiciels, du réseau, etc.,
• une gestion adaptée des droits d’accès et des autorisations, qui garantit que seules les personnes habilitées accèdent à telles ou telles informations,
• la bonne administration des mots de passe, notamment par l’adoption d’une politique dédiée,
• le cryptage de la data,
• la mise en place de sauvegardes régulières, essentielles pour assurer la continuité de l’activité en cas de perte de données,
• la sensibilisation, voire la formation des collaborateurs quant à la protection des informations personnelles et à la sécurité informatique de façon générale.

💡 À savoir : cette partie du diagnostic s’accompagne généralement de tests d’intrusion ainsi que d’une analyse approfondie des procédures prévue en cas de fuites de données.

Au terme de votre audit, vous devez rédiger un rapport consignant les points conformes et les points non conformes. De cette manière, vous identifiez des écarts entre ce que la réglementation attend de vous et la réalité.

Bien sûr, il importe de mettre en place un plan d’action (et de le suivre !) afin de vous mettre rapidement dans les clous.

👉 Ce plan d’action comprend les informations suivantes :

• la nature des chantiers à entreprendre pour pallier les lacunes repérées lors de l’audit,
• la priorisation de ces chantiers selon la gravité des manquements et leur impact potentiel vis-à-vis du RGPD,
• les ressources humaines à mobiliser dans ce projet, avec précision des rôles et responsabilités de chacun,
• la feuille de route, comprenant les différentes étapes, échéances, jalons, etc.

S’il s’agit de votre premier audit RGPD et que vous pensiez en rester là… mauvaise nouvelle : vous avez affaire à un processus continu !

En effet, rester en règle sur le long terme implique de réaliser régulièrement des diagnostics. Si la fréquence dépend évidemment de nombreux facteurs, comme la taille de votre organisation, sa complexité ou encore les évolutions de votre marché, effectuer ce travail au moins une fois par an paraît un bon début.

💡 À savoir : veillez entre-temps à ce que toutes les bonnes pratiques instaurées (sur le recueil du consentement par exemple) soient maintenues dans l’entreprise. D’où l’intérêt de parfaitement former les équipes concernées à ces questions.

Puisque l’audit RGPD nécessite des compétences techniques et juridiques, certaines entreprises décident de recourir à des professionnels externes, tels que des DPO (Data Protection Officer) ou des experts en droit.

Toutefois, déléguer ainsi les audits RGPD génère des coûts additionnels, et de nombreuses organisations décident de mener toutes les opérations en interne. D’autant plus que ce travail est facilité par l’apparition de logiciels spécialisés dans le domaine, pas uniquement adressés aux grands groupes.

👉 Witik, par exemple, prend en charge tous les processus associés à la mise en conformité RGPD des PME et ETI. Il soutient donc les professionnels dans la réalisation de leurs audits, par le biais de programmes personnalisables et complets (évaluation des différents systèmes et supports, de vos sous-traitants, etc.). Le logiciel gère également le plan d’action de mise en conformité ainsi que la formation des équipes.

Vous venez de lire un exemple de méthodologie pour effectuer votre audit de conformité RGPD en bonne et due forme, et vous assurer de n’oublier aucun diagnostic : diagnostic de la collecte des données personnelles, diagnostic du système d’information, diagnostic du traitement de la data et diagnostic de la sécurité.

Si la procédure ne semble pas trop compliquée, elle exige néanmoins de la rigueur… et pas mal de bande passante ! C’est pourquoi on vous suggère d’automatiser au maximum ces opérations, ce qui implique forcément l’utilisation de logiciels spécifiques.

Grâce à ces technologies, vous gagnez du temps sur vos processus RGPD… temps que vous pouvez consacrer, par exemple, à la formation de vos collaborateurs, piliers de votre compliance.