Le Règlement Général Européen sur la Protection des Données (RGPD) a mis en place un certain nombre de nouvelles obligations concernant les entreprises traitant les données personnelles de résidents européens. Un audit permet d’évaluer si les organisations sont conformes ou non à ces obligations.
Cependant, avant qu’un auditeur externe n’évalue les mesures que vous avez prises pour vous conformer au règlement, il est bon d’organiser un audit interne afin de vérifier que vos contrôles, politiques et procédures sont appropriés, et, si ce n’est pas le cas, les modifier en conséquence.
Vous trouverez ci-dessous 10 domaines clés à prendre en compte :
- Gouvernance de protection des données
Dans quelles mesures la responsabilité, les politiques et les procédures de protection des données, les contrôles de mesure de performance et les mécanismes de signalement ont-ils été mis en place et fonctionnent-ils au sein de votre organisation ?
- Gestion des risques
Les risques liés à la vie privée sont-ils compris dans votre registre des risques d’entreprise ? Quels arrangements ont-été mis en place en termes de gestion des risques liés à la vie privée au sein de votre organisation ? Dans quelles mesures le régime des risques d’entreprise comprend-il les risques liés à des informations précises ? Quels risques liés aux droits et libertés des personnes sont abordés ?
- Projet RGPD
Dans quelles mesures un projet RGPD mis en place avec le personnel, les ressources et le support appropriés peut-il fournir des résultats réalistes ?
- Délégué à la protection des données (DPD)
La nomination d’un DPD est-elle obligatoire ? Un DPD a-t-il été nommé ? Le rôle est-il positionné de manière adéquate ? La personne nommée peut-elle fournir les résultats nécessaires face aux exigences du RGPD ?
- Rôles and responsabilités
Dans quelles mesures les rôles et responsabilités sont-ils définis et mis en place au sein de votre organisation, y compris les formations et séminaires de sensibilisation nécessaires ?
- Champ d’application
Il est essentiel de bien définir le champ d’application en prenant en compte tous les traitements de données auxquels vote organisation prend part ; en tant que responsable du traitement ou de sous-traitant, ainsi que toutes les activités de partage des données.
Vous devez également identifier toutes les bases de données contenant des données personnelles afin de déterminer le champ d’application ainsi que les traitements extraterritoriaux/transfrontaliers.
- Analyse des processus
Pour chaque traitement impliquant des données personnelles il est essentiel d’identifier la mesure dans laquelle les principes de traitement des données sont mis en place. La base légitime permettant le traitement des données est un élément clé de conformité avec le RGPD. Existe-t-il des processus pour lesquels l’Analyse d’Impact sur la Protection des Données (DPIA) est obligatoire ? Pour quel processus une DPIA peut-elle aider à mettre en place le principe de protection des données dès la conception et par défaut ?
- Système de gestion des données personnelles (PIMS)
De nombreux documents sont nécessaires afin d’assurer que votre organisation soit capable de mettre en place et de démontrer sa conformité avec le RGPD, tels que la politique de protection des données, la procédure de signalement des violations de données, les formulaires et procédures de demandes d’accès des personnes concernées, les DPIA et les formulaires de consentement. La quantité de documentations dépend de la taille de l’entreprise ainsi que de la complexité de ses activités. Le PIMS doit également aborder les problématiques de sensibilisation et de formation du personnel.
- Système de gestion de la sécurité de l’information (ISMS)
Les mesures techniques et organisationnelles appropriées sont-elles en place afin de garantir la sécurité des données personnelles conservées au format papier ou électronique ou traitées via les systèmes de votre organisation ? Cela doit comprendre une révision des méthodologies de test du niveau de sécurité ainsi que les certifications, normes et codes de pratiques de cyber sécurité en place.
- Droits des personnes concernées
Votre organisation aura besoin de processus permettant de faciliter et de répondre aux personnes concernées exerçant leurs droits, y compris le droit d’accès.
Maintenir les documentations appropriées
La documentation représente une grande partie du projet de mise en conformité au RGPD. Les responsables du traitement et, s’il y a lieu, leur représentant devra conserver les données suivantes :
- Le nom et les coordonnées du responsable du traitement et, s’il y a lieu, du co-responsable, du représentant du responsable et du DPD.
- Les raisons du traitement.
- Une description des catégories de personnes concernées et de données personnelles.
- Les catégories de destinataires avec lesquels les données ont été ou seront partagées.
- S’il y a lieu, les transferts internationaux de données personnelles les documents concernant les garanties appropriées.
- Lorsque cela est possible, les délais d’effacement des différentes catégories de données.
- Lorsque cela est possible, une description générale des mesures techniques et organisationnelles de sécurité mises en place.
Notez que ces obligations de documentation ne concernent pas les organisations de moins de 250 employés, à moins que :
- Le traitement ne soit susceptible d’entrainer des risques pour les droits et libertés des personnes concernées ;
- Le traitement ne soit pas occasionnel ; ou
- Le traitement n’inclue des catégories particulières de données ou des données relatives à des condamnations pénales et à des infractions.
Cependant, même si vous avez moins de 250 employés, la documentation est essentielle afin de faciliter l’exercice des droits des personnes concernées, vous devrez donc vous y plier même si, techniquement, vous n’y êtes pas obligé.
Nous vous conseillons également de documenter les raisons légitimes justifiant le traitement des données ainsi que les accords avec les sous-traitants.
Formation RGPD
Cette formation d’une journée vous permettra de découvrir comment les nouvelles exigences de l’UE en matière de Règlementation Générale de Protection des Données affecteront votre organisation. Vous apprendrez également à maitriser les procédures d’implémentation du RGPD afin de remplir les critères de conformité.
