Audit RGPD

Qu'est-ce qu'un audit RGPD et quelles sont les étapes pour le réaliser ?

Un audit est une procédure de contrôle d'une structure qui permet d'identifier et de corriger les mauvaises pratiques pour une mise en conformité RGPD

Qui est " concerné " par le RGPD ? 🔎

Pour comprendre ce qu’est un audit RGPD, il faut savoir que le Règlement Général sur la Protection des Données a été définitivement mis en place par le Parlement européen le 27 avril 2016. Le règlement est entré en vigueur dans l’ensemble des états membres de l’Union Européenne le 25 mai 2018. 

Les structures dont les activités principales comprennent le traitement des données personnelles doivent garantir leur conformité RGPD. Cela inclut toutes les structures qui traitent régulièrement et systématiquement des données sensibles ou à caractère personnel, ainsi que celles du secteur public. Elles doivent désigner un délégué à la protection des données (DPO).

L’objectif d’un DPO est d’établir un plan d’actions pour mettre une structure en conformité avec le règlement sur la protection des données. Voir l’offre de Dipeeo : DPO externalisé.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données à caractère personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Audit RGPD

📜 Qu'est-ce qu'un audit RGPD ? [Définition] 📜

L’audit RGPD est une procédure de contrôle d’une structure pour faire l’état des lieux global pour savoir si toutes les obligations en relation avec le traitement des données personnelles sont respectées.  Le principal objectif est d’identifier les pratiques non autorisées pour les arrêter ou les rendre conformes pour la protection des données personnelles. Cela va permettre de rédiger les recommandations pour mettre en conformité la structure. C’est le premier pas vers la mise en place de la conformité avec le règlement général sur la protection des données.

La mise en conformité RGPD demande une véritable expertise. Cela nécessite :

  • Des compétences juridiques.
  • Des compétences techniques.

 

Un audit va permettre d’établir un plan d’actions pour se mettre en conformité. Avant cela, l’audit va analyser la situation actuelle de la structure et la comparer aux règles et obligations du règlement. Il va également permettre de trouver toutes les actions à mettre en place pour l’entreprise. De plus, cette analyse va montrer ce qui est en contradiction avec les règles à suivre, ce qui va mettre en lumière les potentiels dangers auxquels pourrait faire face la structure. 

Effectuer un audit RGPD : Est-ce " nécessaire " ? 🏅

Il est nécessaire d’effectuer un audit pour évaluer la conformité RGPD d’une structure. Cependant, si aucune mesure n’a été prise et que le sujet n’a pas été encore travaillé, il est clair que la structure n’est pas en conformité.

La réalisation d’un audit permet de vérifier si votre structure est en conformité RGPD, mais pas uniquement ! C’est un moyen :

  • Pour améliorer et de sécuriser votre structure,
  • De lister les sujets qui ne vont pas avec ce qui a été mis en place,
  • Pour identifier les mauvaises pratiques,
  • Afin de pouvoir corriger ces sujets.

Si vous souhaitez savoir si votre structure est en conformité avec le règlement général sur la protection des données mais qu’ils vous manquent des expertises juridiques et techniques, il est fortement conseillé de passer par un DPO (Data Protection Officer ou Délégué à la Protection des Données) pour la réalisation d’un audit.

Il existe des structures qui proposent une mise en conformité rapide et complète, qui se nomme auprès de la CNIL (Commission Nationale de l’informatique et des libertés) en tant que DPO de la structure, et qui l’accompagne pour tous les sujets RGPD pour un prix raisonnable. (Voir notre offre)

Comment se fait un audit RGPD ?📕

A. Le contrôle de la collecte des données personnelles

Ce contrôle va analyser comment sont collectées les données personnelles dans la structure. L’un des principes du RGPD est le consentement préalable ou l’Opt-in, donc la réalisation d’un audit doit forcément vérifier si ce fondement est respecté.

Le consentement préalable est obligatoire pour la collecte et le traitement des données personnelles en B2C à des fins de prospection commerciale. Cette règle est différente en B2B. Pour plus de détail, vous pouvez consulter les règles de prospection commerciale.

Lire la vidéo sur Quelles sont les règles d'opt-in en prospection commerciale B2B et B2C ?

B. Le contrôle du système d'informations

Un contrôle du système d’informations va situer les données personnelles de l’entreprise et permettra de comprendre comment ses données se déplacent dans l’entreprise et en dehors de l’entreprise. Il prend la forme d’une cartographie du système d’information. Cette cartographie va lister les types de données dans la structure, et leurs lieux de stockage.  La finalité est de comprendre comment se fait le traitement des données personnelles et des données sensibles s’il y en a.

En d’autres termes, le contrôle du système d’information va analyser la finalité des données pour comprendre ensuite comment les données sont utilisées. En ce sens, le RGPD oblige toutes les structures traitant des données personnelles au sein de l’Union Européenne à avoir un registre des traitements.

Audit RGPD

C. Le contrôle de la sécurité des données personnelles pour un audit RGPD

Réaliser un audit peut être fastidieux car une expertise technique est nécessaire dans cette étape de l’audit. Le contrôle va permettre de vérifier si la sécurité des données est fiable. Cela va de même pour le stockage des données ainsi que la fiabilité des process informatiques.

On va trouver les potentiels dangers et les risques technologiques au sein de l’entreprise. Bien sûr, cela inclut les bases de données de la structure, les outils de la structure, les applications de la structure, … En résumé, tout l’ ensemble des traitements des données devra être vérifier afin de voir s’il y a des anomalies.

La mise en place des procédures en amant après avoir effectué des tests d’intrusion est également primordial. Si jamais il y a eu une fuite de données ou autres problèmes, il est nécessaire de mettre en place des mesures correctives pour sécuriser la structure.

L’audit juridique est la deuxième partie de l’audit. Son but est vérifier si les documents de la structure respecte le règlement et donc s’il est nécessaire de mettre en place un plan d’actions pour rédiger les documents comme une politique de confidentialité ou un registre des traitements.

Cette partie consiste à vérifier si les CGV (Contrats Générales de vente) et les principaux contrats de l’entreprise sont en conformité. Ensuite, il y aura la vérification des mentions obligatoires qu’il faut mettre sur les formulaires de contact et les clauses contractuelles.

Audit RGPD

🏅 Audit RGPD Gratuit ! 🏅

Un audit est très simple et très rapide à réaliser.

Dipeeo propose un audit RGPD gratuit pour tout type de structure ! Cet audit ne dure que 30 mn et se fait via visioconférence.

Si vous voulez bénéficier d’un audit gratuit, vous pouvez cliquer ici ou vous pouvez également cliquer sur le bouton  » Demandez une démo « .

Ainsi, vous pouvez vérifier si votre structure est en conformité RGPD sans aucun frais.

Nous traitons le sujet RGPD pour vous !

Audit conformité,
en 48h

Un questionnaire de 40 min pour alimenter votre DPO dédié.

Une mise en œuvre rapide, pour une conformité totale.

DPO externe dédié,
nommé à la CNIL

Un interlocuteur officiel pour votre entreprise, référent pour la CNIL.

Dipeeo prend la responsabilité de votre conformité RGPD.

Coût fixe,
100% maîtrisé

Dipeeo réalise tous les livrables nécessaires à votre conformité.

Forfait mensuel tout inclus. Aucun devis complémentaire.

Lire la vidéo sur Témoignages clients Dipeeo : votre DPO externalisé

Conformité CNIL totale garantie, dans la durée...

Une offre DPO externe dédié « tout inclus » qui s’adapte à vos évolutions futures sans aucun frais complémentaire.

Découvrir Dipeeo ?
Demander une démo !

Jade MASSOT

Ou appelez nous directement au

+33 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.