Pourquoi et comment réaliser un audit RGPD en entreprise ?

Pourquoi et comment réaliser un audit RGPD en entreprise ?

Les données personnelles, indispensables à la bonne marche d’une entreprise, sont omniprésentes dans vos relations avec vos clients, vos partenaires, vos salariés. Pour réguler leur traitement, assurer leur protection et pour que le citoyen puisse exercer un contrôle de ses données, le RGPD (Règlement général sur la protection des données) est obligatoire depuis le 25 mai 2018. Pour se mettre en conformité avec le RGPD, l’audit RGPD est fortement recommandé. Voyons pourquoi et comment le réaliser.

Rappel : qu’est-ce que le RGPD ?

L’évolution des pratiques digitales a conduit l’Europe à mettre à jour et harmoniser sa législation en ce qui concerne le respect et la protection de la vie privée des personnes. Entré en vigueur le 25 mai 2018, ce règlement européen encadre le traitement des données personnelles des citoyens d’Europe. Tout organisme, public ou privé, a l’obligation légale de se conformer au RGPD dès lors qu’il traite des données personnelles afin de garantir leur sécurité de façon optimale. Le dispositif s’applique également aux entreprises étrangères dans la mesure où elles exploitent des données relatives aux ressortissants européens.

L’audit RGPD : un diagnostic de conformité

Les entreprises doivent être en mesure de documenter et de prouver leur conformité au règlement européen. C’est là qu’intervient l’audit RGPD, préalable indispensable pour évaluer votre conformité, appliquer les mesures nécessaires en cas de non-conformité et éviter d’éventuelles sanctions. Il permet également d’améliorer la sécurité des données et de renforcer votre conformité. L’audit analyse tous les aspects juridiques, organisationnels et techniques de vos traitements de données. Sa mise en œuvre consiste à faire le tour des différents services afin de rencontrer les acteurs concernés de façon à :

• dresser un état des lieux des traitements de données ;
• vérifier le niveau de sécurité ;
• identifier les écarts de conformité ;
• mettre en place un plan d’action.

En voici les principales étapes.

1/ Identifier les traitements de données personnelles

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle correspond à toute information permettant d’identifier une personne physique :

• nom, prénom, pseudonyme, date de naissance ;
• coordonnées (numéro de téléphone, adresse postale) ;
• adresse électronique ;
• numéro client, numéro de sécurité sociale, identifiant de connexion ;
• photo, voix ;
• etc.

Qu’est-ce que le traitement d’une donnée personnelle ?

Le traitement d’une donnée personnelle est une opération portant sur des données personnelles comme par exemple : la collecte, l’enregistrement, la modification, l’organisation, la transmission, la suppression etc. Ce traitement peut être informatisé (fichier, base de données, vidéosurveillance, application, etc.) ou papier (fichier papier classé, etc.).

2/ Analyser la pertinence des données personnelles traitées

Les données sont-elles indispensables à mon activité ?

Chaque donnée doit être utile à l’entreprise pour réaliser son activité : recrutement, paie, clients, fournisseurs, etc. Si ce n’est pas le cas, elles ne sont ni nécessaires ni pertinentes. Il est donc inutile de les garder.

Est-ce que ce sont des données sensibles ?

Les données dites sensibles concernent des informations pouvant donner lieu à de la discrimination ou à des préjugés : une opinion politique, la religion, un engagement syndical, une appartenance raciale ou ethnique, une orientation sexuelle, une donnée médicale.Leur collecte est interdite sauf dans certains cas précisés à l’article 9(2) du RGPD : notamment recueillir le consentement exprès de la personne concernée, dans un cadre de soin ou pour des motifs d’intérêt public important.

Combien de temps ai-je besoin de conserver ces données ?

Les informations sur les personnes ne peuvent pas être conservées pour toujours. L’article 5 du RGPD impose de limiter leur durée de conservation. Certaines durées sont imposées par des dispositions légales ou réglementaires.Pour celles qui ne le sont pas, la limite de conservation doit être déterminée en fonction de l’objectif poursuivi. Au-delà, les données devront être effacées ou anonymisées.

3/ Examiner l’utilisation et la finalité des données

Dès lors que vous traitez des données, vous devez faire preuve de transparence et fournir une information claire sur leur utilisation et leur finalité. L’audit RGPD permet de vérifier que la personne concernée par le traitement de ses données est avertie de la collecte directe ou indirecte de ses données au moment de la collecte ou en cas de modification.Les données recueillies doivent servir un but précis compatible avec les missions de l’entreprise : gestion du personnel, gestion de la clientèle, etc. Les utilisateurs ne doivent donc accéder qu’aux seules données dont ils ont besoin. Pour cela, chacun doit pouvoir s’authentifier grâce à un moyen qui lui est propre : un identifiant, un mot de passe, une carte à puce, un badge d’accès aux locaux, une empreinte digitale, une signature, etc.Les sous-traitants qui traitent des données pour l’entreprise sont soumis aux mêmes exigences. D’une part, vous êtes tenu d’établir un contrat précisant les obligations de chaque partie selon l’article 28 du RGPD. D’autre part, vous devez vous assurer que toutes les mesures techniques et organisationnelles sont mises en place par le sous-traitant pour assurer la sécurité des données.

4/ Évaluer la sécurité des données

Les entreprises ont l’obligation d’assurer la sécurité et la confidentialité des données personnelles, numériques ou physiques, en réduisant au maximum les risques de pertes et en empêchant la fuite des données et leur utilisation frauduleuse.Les lieux de stockage des données doivent donc être parfaitement sécurisés pour prévenir la perte d’intégrité, la disparition des données ou l’accès d’une personne non autorisée. Aussi, la sécurité des outils informatiques doit être vérifiée : logiciels, antivirus, chiffrement des données, sauvegardes, restauration du système, etc.Pour limiter les risques, la quantité de données traitée doit être réduite au strict nécessaire, tel que le prévoit le principe de minimisation du RGPD. L’audit permet également d’analyser vos outils et supports informatiques. Par ailleurs, la CNIL a dressé une checklist très utile pour vous aider à évaluer votre niveau de sécurité et prendre la mesure de tous les paramètres à considérer.Vous devez également informer les personnes des modalités de collecte et de stockage de leurs données et obtenir leur accord de manière explicite, le cas échéant. En fonction de l’utilisation de leurs données, ces personnes disposent d’un droit d’accès, de rectification, d’opposition et de portabilité concernant l’utilisation de leurs données, ainsi qu’un droit à l’oubli, c’est-à-dire le droit de demander la suppression de leurs informations.Enfin, en cas de risques pour les droits des personnes, vous devez notifier cette violation à la CNIL dans un délai maximum de 72H et informer la personne concernée dans le cas où le risque s’avère élevé pour sa vie privée.

Au terme de l’audit RGPD, un rapport d’analyse précise les non-conformités et préconise un plan d’actions à réaliser pour se mettre en règle. Data Need Advice vous accompagne dans votre démarche de mise en conformité au RGPD. Contactez nos experts !