Audit RGPD Entreprise

Juridique

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Publié il y a 10 mois
Pourquoi réaliser un audit RGPD ? Et par quoi on commence ?
Entreprise

Juridique

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Publié il y a 10 mois

Les points principaux

Identifier Analyser Sécuriser
Pourquoi réaliser un audit RGPD ? Et par quoi on commence ?

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Les données personnelles, indispensables à la bonne marche d’une entreprise, sont omniprésentes dans vos relations avec vos clients, vos partenaires, vos salariés. Pour réguler leur traitement, assurer leur protection et pour que le citoyen puisse exercer un contrôle de ses données, le RGPD (Règlement général sur la protection des données) est obligatoire depuis le 25 mai 2018. Pour se mettre en conformité avec le RGPD, l’audit RGPD est fortement recommandé. Voyons pourquoi et comment le réaliser.

Rappel : qu’est-ce que le RGPD ?

L’évolution des pratiques digitales a conduit l’Europe à mettre à jour et harmoniser sa législation en ce qui concerne le respect et la protection de la vie privée des personnes. Entré en vigueur le 25 mai 2018, ce règlement européen encadre le traitement des données personnelles des citoyens d’Europe. Tout organisme, public ou privé, a l’obligation légale de se conformer au RGPD dès lors qu’il traite des données personnelles afin de garantir leur sécurité de façon optimale. Le dispositif s’applique également aux entreprises étrangères dans la mesure où elles exploitent des données relatives aux ressortissants européens.

L’audit RGPD : un diagnostic de conformité

Les entreprises doivent être en mesure de documenter et de prouver leur conformité au règlement européen. C’est là qu’intervient l’audit RGPD, préalable indispensable pour évaluer votre conformité, appliquer les mesures nécessaires en cas de non-conformité et éviter d’éventuelles sanctions. Il permet également d’améliorer la sécurité des données et de renforcer votre conformité. L’audit analyse tous les aspects juridiques, organisationnels et techniques de vos traitements de données. Sa mise en œuvre consiste à faire le tour des différents services afin de rencontrer les acteurs concernés de façon à :

  • dresser un état des lieux des traitements de données ;
  • vérifier le niveau de sécurité ;
  • identifier les écarts de conformité ;
  • mettre en place un plan d’action.

En voici les principales étapes.

1/ Identifier les traitements de données personnelles

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle correspond à toute information permettant d’identifier une personne physique :

  • nom, prénom, pseudonyme, date de naissance ;
  • coordonnées (numéro de téléphone, adresse postale) ;
  • adresse électronique ;
  • numéro client, numéro de sécurité sociale, identifiant de connexion ;
  • photo, voix ;
  • etc.

Qu’est-ce que le traitement d’une donnée personnelle ?

Le traitement d’une donnée personnelle est une opération portant sur des données personnelles comme par exemple : la collecte, l’enregistrement, la modification, l’organisation, la transmission, la suppression etc. Ce traitement peut être informatisé (fichier, base de données, vidéosurveillance, application, etc.) ou papier (fichier papier classé, etc.).

2/ Analyser la pertinence des données personnelles traitées

Les données sont-elles indispensables à mon activité ?

Chaque donnée doit être utile à l’entreprise pour réaliser son activité : recrutement, paie, clients, fournisseurs, etc. Si ce n’est pas le cas, elles ne sont ni nécessaires ni pertinentes. Il est donc inutile de les garder.

Est-ce que ce sont des données sensibles ?

Les données dites sensibles concernent des informations pouvant donner lieu à de la discrimination ou à des préjugés : une opinion politique, la religion, un engagement syndical, une appartenance raciale ou ethnique, une orientation sexuelle, une donnée médicale.Leur collecte est interdite sauf dans certains cas précisés à l’article 9(2) du RGPD : notamment recueillir le consentement exprès de la personne concernée, dans un cadre de soin ou pour des motifs d’intérêt public important.


Combien de temps ai-je besoin de conserver ces données ?

Les informations sur les personnes ne peuvent pas être conservées pour toujours. L’article 5 du RGPD impose de limiter leur durée de conservation. Certaines durées sont imposées par des dispositions légales ou réglementaires.Pour celles qui ne le sont pas, la limite de conservation doit être déterminée en fonction de l’objectif poursuivi. Au-delà, les données devront être effacées ou anonymisées.

3/ Examiner l’utilisation et la finalité des données

Dès lors que vous traitez des données, vous devez faire preuve de transparence et fournir une information claire sur leur utilisation et leur finalité. L’audit RGPD permet de vérifier que la personne concernée par le traitement de ses données est avertie de la collecte directe ou indirecte de ses données au moment de la collecte ou en cas de modification.Les données recueillies doivent servir un but précis compatible avec les missions de l’entreprise : gestion du personnel, gestion de la clientèle, etc. Les utilisateurs ne doivent donc accéder qu’aux seules données dont ils ont besoin. Pour cela, chacun doit pouvoir s’authentifier grâce à un moyen qui lui est propre : un identifiant, un mot de passe, une carte à puce, un badge d’accès aux locaux, une empreinte digitale, une signature, etc.Les sous-traitants qui traitent des données pour l’entreprise sont soumis aux mêmes exigences. D’une part, vous êtes tenu d’établir un contrat précisant les obligations de chaque partie selon l’article 28 du RGPD. D’autre part, vous devez vous assurer que toutes les mesures techniques et organisationnelles sont mises en place par le sous-traitant pour assurer la sécurité des données.

4/ Évaluer la sécurité des données

Les entreprises ont l’obligation d’assurer la sécurité et la confidentialité des données personnelles, numériques ou physiques, en réduisant au maximum les risques de pertes et en empêchant la fuite des données et leur utilisation frauduleuse.Les lieux de stockage des données doivent donc être parfaitement sécurisés pour prévenir la perte d’intégrité, la disparition des données ou l’accès d’une personne non autorisée. Aussi, la sécurité des outils informatiques doit être vérifiée : logiciels, antivirus, chiffrement des données, sauvegardes, restauration du système, etc.Pour limiter les risques, la quantité de données traitée doit être réduite au strict nécessaire, tel que le prévoit le principe de minimisation du RGPD. L’audit permet également d’analyser vos outils et supports informatiques. Par ailleurs, la CNIL a dressé une checklist très utile pour vous aider à évaluer votre niveau de sécurité et prendre la mesure de tous les paramètres à considérer.Vous devez également informer les personnes des modalités de collecte et de stockage de leurs données et obtenir leur accord de manière explicite, le cas échéant. En fonction de l’utilisation de leurs données, ces personnes disposent d’un droit d’accès, de rectification, d’opposition et de portabilité concernant l’utilisation de leurs données, ainsi qu’un droit à l’oubli, c’est-à-dire le droit de demander la suppression de leurs informations.Enfin, en cas de risques pour les droits des personnes, vous devez notifier cette violation à la CNIL dans un délai maximum de 72H et informer la personne concernée dans le cas où le risque s’avère élevé pour sa vie privée.

Au terme de l’audit RGPD, un rapport d’analyse précise les non-conformités et préconise un plan d’actions à réaliser pour se mettre en règle. Data Need Advice vous accompagne dans votre démarche de mise en conformité au RGPD. Contactez nos experts !

Du même thème

Nous utilisons
des cookies.

Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus). Certains sont techniquement nécessaires, les autres sont utiles au bon fonctionnement de notre site ("statistiques").

En savoir plus

Ce site web,
comme la plupart,
utilise des cookies.

Vous pouvez les accepter ou vous y opposer, à vous de voir. Mais laissez-nous vous expliquer le pourquoi du comment, afin d'éclairer votre choix :

Sur internet, la collecte et le traitement des données sont omniprésents, et peuvent résulter d'une simple navigation sur un site web.....grâce à ces petites choses que l'on appelle les "Cookies". Il s'agit de petits fichiers déposés sur votre machine pour un temps défini (et pas plus), permettant de conserver des données relatives à votre navigation.
Comme notre site n'échappe pas à la règle, nous utilisons des Cookies.
Certains sont techniquements nécessaires. D'autres sont des outils pour analyser notre trafic (en prenant soin de ne pas vous identifier), utiles au bon fonctionnement de notre site et à sa sécurité. Vous pouvez accepter ou vous opposer à leur dépôt.

Les cookies nécessaires

Les cookies nécessaires contribuent à rendre un site Web utilisable en activant des fonctions de base comme la navigation de page et l'accès aux zones sécurisées du site Web. Le site Web ne peut pas fonctionner correctement sans ces cookies. C'est la raison pour laquelle votre consentement n'est pas requis.

Nom Fournisseur Expiration Type
dna_consent DNA 13 mois HTML
Stocke l'autorisation d'utilisation de cookies pour le domaine actuel par l'utilisateur.
dna_type DNA 10 minutes HTML
Ce cookie est utilisé pour distinguer les humains des robots.
dna_contact DNA 10 minutes JSON
Ce cookie est utilisé pour préremplir le formulaire de la page contact en fonction des actions de l'utilisateur.
SERVERID OVH Session HTML
Un cookie technique utilisé par notre hébergeur pour faire de la répartition de charge serveur.

Les cookies comme outils pour nos statistiques

Ces traceurs de mesure d'audience ont pour seul but l'élaboration de statistiques de fréquentation et de performance dans un souci de bon fonctionnement et d'amélioration de notre Site. Nous sommes les seuls à les utiliser, ils ne nous permettent pas un suivi global de votre navigation, et les statistiques émises sont strictement anonymes (réalisées par le biais de Matomo). Votre consentement n'est pas requis, mais vous pouvez vous opposer à leur utilisation en décochant la case correspondante. Cette opposition n'aura aucune incidence technique sur votre navigation.

Nom Fournisseur Expiration Type
_pk.id DNA - MATOMO 13 mois html
Utilisé pour stocker quelques détails à propos de l'utilisateur tel que son identifiant unique.
_pk.ses DNA - MATOMO 30 minutes HTML
Cookie à courte vie utilisé pour stocker temporaire des données sur la visite.
mtm_cookie_consent DNA - MATOMO 12 mois HTML
Est créé pour se souvenir du consementement de l'utilisateur pour stocker et utiliser des cookies statistiques.