La mise en conformité au RGPD ne se résume pas à la rédaction du registre des traitements et à la mise en place de procédures. En effet, afin d’assurer sa conformité sur le long terme, il est nécessaire de réaliser des audits de manière régulière.
Mais quels audits réaliser ? Les experts RGPD de Data Legal Drive vous présentent dans cet article 5 audits à réaliser.
Auditer la conformité de ses traitements de données personnelles
Une fois les traitements identifiés et rédigés dans votre registre de traitements, il est important de s’assurer de leur conformité sur le long terme. Cela implique :
- De s’assurer qu’ils sont toujours en conformité avec la loi et les recommandations de la CNIL.
- De s’assurer de leur réalité dans la société.
Au fil du temps, un traitement de données personnelles peut être amené à évoluer. Par exemple, vous faites appel à un nouveau sous-traitant, une nouvelle durée de conservation est appliquée, les données sont traitées pour une nouvelle sous-finalité, etc… Dès lors que de tels changements sont effectués, ils doivent apparaître dans le registre de traitements de la société. La mise à jour du registre est censée être réalisée dès qu’un traitement évolue. Mais dans la pratique, il se peut que des décisions prises par les opérationnels n’aient pas été communiquées au DPO ou au référent RGPD, et donc, que les évolutions de traitements n’aient pas été reportées dans le registre de traitements. C’est pourquoi, il est important de faire un audit de votre registre.
Aussi, la CNIL publie régulièrement de nouvelles recommandations sur les traitements de données. Il se peut donc, que certains traitements nécessitent d’évoluer, afin de suivre les dernières recommandations de la CNIL. L’audit de traitements est donc l’occasion de mettre à jour et d’appliquer les recommandations de la CNIL, si cela n’a pas été réalisé en amont.
Lors de cet audit, le DPO ou la personne en charge des données personnelles, doit mener des ateliers avec le métier. Cet audit peut être réalisé une fois par an.
Auditer l’application des durées de conservation
Le respect des durées de conservation définies dans le registre des traitements est sans nul doute, l’une des parties les plus complexes dans la mise en conformité d’une organisation. Le respect de la limitation des durées de conservation est d’ailleurs un point de contrôle fréquent lors des investigations de la CNIL. C’est pourquoi, auditer la bonne application des durées de conservation au sein de l’organisation est primordiale. Pour ce faire, le DPO ou la personne en charge des données personnelles, doit mener des ateliers avec les métiers. Cet audit peut être réalisé une fois par an.
Auditer le respect des procédures
Afin d’assurer la conformité au RGPD, des procédures peuvent être mises en œuvre en interne, comme notamment une procédure relative à la gestion des droits des personnes ou une procédure relative aux violations de données. Il s’agit ici, de s’assurer que ces procédures sont connues des collaborateurs et appliquées. Par exemple, dans le cadre des violations de données, il est important de veiller à ce que les collaborateurs aient connaissance des actions à mener en interne en cas de violations de données.
Auditer les mesures de sécurité
Il est important d’auditer les mesures de sécurité, aussi bien techniques qu’organisationnelles.
Les mesures de sécurité techniques pourront être auditées en collaboration avec les métiers et la DSI de la société. Il s’agit d’évaluer la bonne application et l’efficacité des mesures mises en œuvre, afin de s’assurer que les données personnelles traitées sont suffisamment protégées. Par exemple, s’il a été convenu que des données devaient être anonymisées à l’issue d’un traitement, il est important de s’assurer que ces dernières ont été anonymisées par le service en charge du traitement.
Pour rappel, les données sensibles ou hautement personnelles nécessitent des mesures de sécurité renforcées.
Aussi, il est important de veiller à ce que des mesures organisationnelles soient déployées. Comme par exemple, s’assurer de la bonne gestion des habilitations au sein de chaque service ainsi que de la sensibilisation des collaborateurs.
Auditer ses sous-traitants
Lorsqu’un organisme agit en tant que responsable de traitement, il est en droit d’auditer la conformité de ses sous-traitants. La réalisation de tels audits est en priorité conseillée auprès des sous-traitants qui réalisent un grand nombre de traitements, qui réalisent des traitements sensibles ou qui traitent une quantité importante de données. Par exemple, une société qui sous-traite sa gestion RH à un tiers, a tout intérêt à effectuer un audit de ce sous-traitant. Aussi, une société spécialisée dans le secteur de la santé, qui sous-traite une partie de la gestion des données, a fortement intérêt à auditer le niveau de conformité et les pratiques de son sous-traitant, au vu du risque que peut faire courir le traitement de telles données aux personnes concernées.
En bref…
Réaliser des audits de votre conformité au RGPD vous permettra donc d’assurer la protection des données personnelles sur le long terme, mais aussi, de dresser un état des lieux de votre niveau de conformité et ainsi d’identifier les potentiels points de non-conformité, vous permettant d’adapter votre plan d’action.
Comme pour toute action pouvant justifier vos efforts de mise en conformité, il est important de conserver une preuve des audits réalisés. En effet, en cas de contrôle CNIL, démontrer que vous mettez en œuvre des audits réguliers, justifie que vous mettez en place des actions pour garantir votre conformité au RGPD.
