Now Reading
Audit RGPD : base d’une bonne stratégie de gouvernance des données personnelles
0

 Le 25 mai 2018 marque le début d’une nouvelle ère pour la protection des données. C’est la date où le Règlement Général sur la Protection des Données (RGPD) prendra pleinement effet. Ce nouveau règlement impose aux entreprises de revoir complètement leur stratégie de gouvernance des données personnelles. Et pour y arriver, elles devront travailler à partir d’un état des lieux de leur stratégie.

Cet état des lieux s’obtient après la réalisation d’un audit RGPD. L’essentiel sur cette opération fortement conseillée en raison de son importance dans le processus de mise en conformité.

Première étape d’un audit RGPD : définir le périmètre d’analyse

Un audit RGPD, ou audit de conformité, se divise en plusieurs étapes. La première étape consiste à définir le périmètre d’analyse, c’est-à-dire, délimiter le périmètre d’intervention. En effet, un audit RGPD peut porter sur l’ensemble des activités de l’entreprise (lien avec la protection des données) ou seulement sur un aspect de la légalité (un point précis). La définition du périmètre d’intervention aura surtout des incidences sur le coût et la durée de l’étude.

Généralité sur le processus d’audit

Le processus utilisé pour mener un audit diffère d’un professionnel à un autre. Chacun sa méthode de travail. Malgré cette diversité, certains points communs peuvent toujours être relevés. Un audit RGPD digne de ce nom commencera souvent par l’identification des traitements de données au sein de la structure à auditer. Cette opération va permettre de lier certaines informations importantes à chaque traitement : légalité, durée, cible, durée, rétention… Une fois cette étape passée, viendra par la suite la conduite de tests en interne pour évaluer l’état de la transmission des données au sein de la structure et à des tiers. Ce deuxième examen permet d’évaluer l’efficacité de la politique de confidentialité (social engineering) de la structure ainsi que l’importance qu’elle accorde à sa stratégie de protection des données.

Édition de rapport

La réalisation d’un audit RGPD abouti à l’édition d’un rapport comprenant divers points. D’une part, une liste complète des éléments de non-conformités : faille du système informatique, illégalité des traitements, garantie insuffisante des droits… D’autre part, une liste des solutions à mettre en œuvre pour résoudre les problèmes d’illégalités. Ces solutions sont présentées de manières claires pour permettre à la structure de les appliquer le plus rapidement possible.

Audit RGPD élargi

Un audit RGPD peut être élargi. Ce sera notamment le cas lorsqu’il portera en plus sur les activités du sous-traitant et la performance des outils informatiques de la structure à auditer. L’audit du sous-traitant sera axé sur 3 grands points : la réputation du sous-traitant (contrôle de confiance), les déclarations et autorisations CNIL et les risques de fuite (analyse du système de protection des données). En ce qui concerne, l’audit de la performance des outils informatiques, il portera essentiellement sur le site web de la structure. Parmi les grands points qui seront analysés lors de l’audit : la vulnérabilité du site, les cookies, les conditions générales de vente, les formulaires…

About The Author
UnderGroundSeo

Leave a Response