Audit RGPD : Les étapes pour réaliser votre diagnostic de conformité

Qu’est-ce qu’un audit RGPD ? [Définition]

Commençons par rappeler que la CNIL multiplie les contrôles pour vérifier que les entreprises respectent le règlement général sur la protection des données, le fameux “RGPD” qui réglemente le traitement des données personnelles au niveau européen. Les sanctions en cas de non conformité sont élevées. Il est donc de la plus haute d’importance de se mettre en règle. C’est ce que l’on appelle la “mise en conformité RGPD”. La première étape d’un projet de mise en conformité est l’audit RGPD. Cet audit consiste à faire un état des lieux général de la situation de l’entreprise en matière de gestion des données personnelles. Cet audit vous permettra :

• D’analyser les écarts entre votre gestion actuelle des données personnelles et les règles et obligations du RGPD.
• De détecter les zones de risque, c’est-à-dire les manquements les plus dangereux pour l’entreprise.
• D’identifier les actions et chantiers à déployer pour vous mettre en conformité.

Autrement dit, la finalité de l’audit RGPD est la construction de la feuille de route de mise en conformité.

Les principaux diagnostics à mener dans un audit RGPD

Nous allons vous présenter de manière synthétique les principaux diagnostics à réaliser dans le cadre de l’audit RGPD.

L’audit des dispositifs et des modes de collecte des données personnelles

Le premier consiste à passer en revue et à analyser les différents mécanismes de collecte de données en place dans votre organisation, dans vos outils, sur vos sites internet, etc. Le RGPD réglemente en effet de manière stricte la collecte de données et la soumet au principe du consentement. Des fiches de renseignements aux formulaires web en passant par les données personnelles recueillies par téléphone : toutes les sources de collecte doivent être listées. Pour chaque source de collecte, la personne en charge de l’audit RGPD doit qualifier les modes de collecte utilisés et vérifier s’il y a ou non recueil du consentement. Prenons le cas des formulaires web. Voici ce qu’il faut vérifier :

• Y a-t-il des cases précochées ? Si oui, celles-ci devront être supprimées.
• Le formulaire indique-t-il de manière claire et transparente l’objectif de la collecte ?
• Le formulaire informe-t-il l’internaute sur ses droits (droit de retractation, droit de modification…) ?

Le recueil du consentement est l’un des points les plus sensibles du RGPD. La CNIL est intraitable sur ce sujet et y accorde une grande importance au moment des contrôles.

L’audit du système d’information de l’entreprise

Dans ce deuxième audit, il s’agit de cartographier l’ensemble des systèmes de données (bases, outils…) et des flux entre ces systèmes ET avec les systèmes extérieurs à l’organisation. Dit autrement, cet audit permet de savoir où est-ce qu’il y a des données personnelles dans l’entreprise (où sont-elles stockées) et comment elles circulent dans et en dehors de l’entreprise. Cet audit RGPD prend la forme d’une cartographie du système d’information. La multiplication des bases et des outils rend ce travail de cartographie souvent complexe. Il y a de la donnée partout et on ne sait pas toujours très bien où elle est localisée dans le SI. En parallèle, il faut faire le point sur ce que sont ces données personnelles. L’entreprise stocke des données dans son système d’information, mais quelles sont ces données ? Il faut ainsi lister l’ensemble des types de données et indiquer où elles sont stockées. C’est ce que l’on appelle l’inventaire des données. Faisons remarquer en passant que disposer d’un Référentiel Données Unique facilite beaucoup la tâche. Plus les données sont éparpillées dans le système d’information, plus la cartographie est complexe. D’ailleurs, beaucoup d’entreprises décident de s’équiper d’une solution d’unification dans le cadre ou dans le prolongement de leur projet RGPD. Une base de données unifiée est un précieux outil de gouvernance des données.

L’audit des traitements de données personnelles

Les précédents audits permettent de savoir comment l’entreprise collecte les données, quelles sont ces données, où elles sont stockées et comment elles circulent. Mais cela ne nous éclaire pas sur la manière dont les données sont utilisées par l’entreprise. Il faut donc un nouvel audit RGPD : l’audit des traitements. Il peut se décomposer en deux parties :

• Il faut commencer par analyser la finalité des données. A quoi servent-elles ? C’est la question “Pourquoi ?”.
• Il faut en même temps définir comment les données sont utilisées, quels sont les traitements réalisés. C’est la question “Comment ?”.

Cet audit sert de point de départ à l’établissement du registre des traitements et des règles & procédures de documentation. Le RGPD oblige en effet toutes les entreprises à tenir un registre des traitements répertoriant l’ensemble des traitements opérés. Cet audit aboutit à un mapping des traitements. Pour chaque type de données, la personne en charge de l’audit RGPD doit décrire la ou les finalités de la collecte. Cet audit est également le moment idéal pour identifier toutes les données qui ne sont pas utilisées par l’entreprise et qui n’ont pas de finalité. Dans une optique de “minimisation des données”, nous conseillons de supprimer ces données du système d’information. La philosophie du RGPD consiste à ne stocker que les données qu’on utilise ou qu’on prévoit d’exploiter dans un horizon de temps proche. Pour finir, ajoutons que cet audit doit être l’occasion :

• D’identifier les données qui font l’objet d’un échange avec un service ou prestataire situé en dehors de l’UE.
• De repérer les données qui font l’objet d’une utilisation non-conforme au RGPD.
• D’identifier les responsables de traitement.
• De décrire les règles d’accès aux données.

L’audit de la sécurité des données personnelles

Le dernier audit RGPD à mener est un audit technique. Il concerne la sécurité des données, leur stockage et les process informatiques. Il consiste à analyser les risques technologiques éventuels concernant les données personnelles et porte sur les bases de données, les outils, les applicatifs, les flux de données entrants et sortants, les postes informatiques, les réseaux… Des tests d’intrusion doivent être menés. Les procédures prévues en cas de fuite de données doivent également être analysées, de même que les mesures de cryptage et d’anonymisation des données.

L’audit RGPD mène à la production du Plan d’Actions de mise en conformité

L’audit RGPD permet de voir ce qui ne va pas dans l’état actuel en matière de gestion des données à caractère personnel. Il est constitué d’un ensemble de diagnostics portant sur les données, leur organisation, leur utilisation, leur sécurité. Ces diagnostics permettent de mesurer les écarts entre la pratique actuelle et la pratique conforme au RGPD. La mesure d’écart conduit à l’identification des différentes actions à mener pour atteindre la conformité. La dernière étape d’un audit RGPD consiste à :

• Déduire des diagnostics les actions à entreprendre. Ces actions sont regroupées dans des chantiers de traitement : Sécurité ; Gestion des consentements ; Registre des traitements…
• Prioriser les actions en fonction de leur urgence, du niveau de risque.
• Les organiser dans une feuille de route : le Plan d’Actions de la mise en conformité RGPD.

Comment réaliser un audit RGPD ? Seul ou accompagné ?

La production de l’audit RGPD nécessite une réelle expertise, et plus précisément :

• Des compétences juridiques. Une parfaite connaissance du RGPD, de ses règles et des obligations des entreprises en matière de gestion des données personnelles.
• Des compétences techniques. Une capacité à mener les diagnostics RGPD dans les règles de l’art, une méthodologie.

Cette expertise et les compétences associées ne sont pas toujours présentes dans l’organisation. Dans ce cas, l’accompagnement par un professionnel est incontournable. Il peut s’agit d’un Data Protection Officer (DPO) ou d’un avocat expert en Droit de l’Internet et des données personnelles.