Comment réaliser un audit RGPD ?

Le Règlement général sur la protection des données (RGPD) est venu renforcer la législation encadrant les données à caractère personnel. Désormais, un défaut de conformité peut coûter très cher aux organismes.

En effet, les organismes s’exposent à des sanctions de l’autorité de contrôle, la CNIL en France, mais surtout à une violation de données personnelles. Or, une violation de données personnelles peut avoir des conséquences considérables pour les organismes et pour les personnes concernées.

Où en êtes-vous de votre conformité RGPD ? Pour évaluer le niveau de conformité de l’organisme et connaître les actions à mettre en place, il est indispensable de commencer par mener un audit RGPD.

Ainsi, la réalisation de cet audit RGPD constitue la première étape de tout projet de mise en conformité.

  • Qu’est-ce qu’un audit RGPD ?
  • Qui est concerné par l’audit RGPD ?
  • Quels diagnostics doivent être réalisés ?

Audit RGPD : qu’est-ce que c’est ?

Audit RGPD : une définition

Un audit RGPD consiste en un contrôle de l’ensemble des mesures mises en place par un organisme pour se conformer au RGPD. Les différents diagnostics ont pour objectif  de vérifier que le traitement des données personnelles est réalisé conformément aux obligations légales.

Il existe deux types de diagnostic RGPD :

  • L’audit initial RGPD visant à dresser un panorama des éventuels écarts avec le RGPD. Il doit aboutir à un plan d’actions de mise en conformité pour corriger ces écarts.
  • L’audit de suivi de la démarche visant à vérifier que l’organisme respecte toujours les règles de conformité mises en place. Dans le cas contraire, des correctifs doivent être apportés.

En effet, la conformité avec le RGPD étant un processus continu, il est nécessaire de réaliser des audits réguliers pour la maintenir.

Audit RGPD : à quoi ça sert ?

L’audit RGPD doit vous permettre de :

  • Identifier et analyser les écarts entre vos pratiques et la pratique conforme au RGPD;
  • Cartographier et analyser l'ensemble des traitements des données personnelles ;
  • Identifier les principaux risques, c’est-à-dire les manquements les plus impactants pour votre organisme ;
  • Établir le plan d’action de mise en conformité : identifier les actions et les chantiers à lancer prioritairement pour mettre l'organisation en conformité.

Les principaux domaines de la gestion des données sont concernés par un audit RGPD : la collecte, le traitement, l’utilisation, la conservation ou encore la sécurité des données.

Audit RGPD : qui est concerné ?

Tout organisme entrant dans le champ d’application du RGPD est incité à procéder à un audit RGPD. Le champ d’application du RGPD est déterminé par les articles 2 RGPD et article 3 RGPD.

Il s’agit de tous les organismes :

  • quel que soit la taille et la structure juridique;
  • exerçant une activité professionnelle dans l'Union européenne,
  • et/ ou immatriculée en Union Européenne ou concernant des données personnelles de résidents européens,
  • et réalisant des traitements de données personnelles.

Le RGPD s’applique de manière très large. Quasiment aucun organisme ne peut faire l’économie d’un audit RGPD afin de se mettre en conformité avec la législation sur les données à caractère personnel.

Qui réalise un audit RGPD ?

La réalisation d’un audit RGPD est une mission qui revient au DPO (Data Protection Officer).

Le DPO peut être interne à l’entreprise, à la seule condition de ne pas nommer une personne en situation de conflit d'intérêt. La casquette de DPO est incompatible avec toute fonction dirigeante ou décisionnaire. De plus, en pratique, il est recommandé de nommer une personne ayant des connaissances en matière de protection des données personnelles.

Si vous n’avez pas désigné de DPO en interne, cette mission peut-être confiée à un DPO externe à l’entreprise comme un avocat spécialisé en RGPD ou encore un consultant RGPD.

5 étapes pour réaliser un audit RGPD

1- Audit de l’ensemble des outils de l’organisme

La première étape de ce diagnostic RGPD consiste à repérer tous les outils qui pourraient comprendre des données personnelles.

Cet audit consiste à identifier :

L’ensemble des systèmes d’information et des flux de données

Cette étape consiste à faire le point sur tous les outils, les logiciels, les bases de données utilisées pour l’activité professionnelle : logiciel paie, logiciel CRM, outils de gestion de projet, outil de gestion des campagnes marketing, outils d’analyse du site web, logiciels financiers etc.

La donnée est partout et il n’est pas toujours aisé de la localiser dans le système d’information de l’organisme. Notez de façon exhaustive tous les outils digitaux, et non digitaux comme les formulaires papier par exemple, que vous utilisez.

De plus, vous devez lister tous les flux entre les différents systèmes d’information de l’entreprise mais aussi avec les systèmes d’informations externes. Identifiez les différentes interfaces, les API (permet de « connecter » un outil à un autre afin d'échanger des données et des fonctionnalités), les exports de fichiers ou encore les flux de mails.

Cet audit des outils permet de connaître l’emplacement des données et la façon dont elles circulent.

Les types de données se trouvant dans ces outils

Pour chaque outil ou logiciel de votre liste, repérez les données stockées. L’objectif est d'identifier particulièrement les données personnelles.

Or, le RGPD en donne un définition très large (article 4 RGPD), puisqu’il s’agit de toutes les informations se rapportant à une personne physique identifiée ou identifiable directement ou indirectement.

Certaines données personnelles se repèrent sans peine, ce sont celles qui identifient directement une personne : le nom, le prénom par exemple. D’autres données sont dites “indirectes” comme un numéro de téléphone, un numéro client, une date de naissance. Toutes ces données sont protégées par le RGPD !

En revanche, si votre système d’information contient des données se rapportant à des entreprises, qui sont des personnes morales, ces données ne sont pas concernées à l’exception de l’identité et du contact de la personne physique avec laquelle vous conversez (B2B).

👉 Faites l’inventaire des données personnelles : listez toutes les données personnelles et indiquez leur emplacement.

💡 Leto est un logiciel SaaS qui vous permet d’automatiser cette tâche grâce au Data mapping. C’est simple : vous indiquez les outils que vous utilisez, Leto vous identifie les données que vous collectez.

2- Audit des mécanismes de collecte des données personnelles

✅ Vous avez listé tous vos outils;

✅Vous savez où sont stockées les données personnelles;

🔜Vous allez devoir maintenant identifier leurs sources de collecte.

Cette étape consiste à passer en revue et à analyser les différentes sources de collecte de données mises en place dans votre organisation. Tous les mécanismes de collecte de données doivent être listés.

Pour rappel, la collecte de données personnelles doit reposer sur l’une des 6 bases légales du RGPD (article 6 RGPD). Pour chaque mécanisme de recueil de données, l’auditeur RGPD identifie le mode de collecte et si celui-ci est conforme au RGPD.

En résumé, l’audit des modes de collecte consiste à identifier :

  1. Chaque source de collecte de données personnelles : formulaires web, formulaires papier, cookies sur le site web, données recueillies par téléphone, etc;
  2. Si la donnée a bien été collectée en s’appuyant sur l’une des bases légales suivantes :
  • Le contrat,
  • Le consentement ,
  • le respect d’une obligation légale,
  • L’intérêt légitime du responsable de traitement
  • L’exercice d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique;
  • La sauvegarde des intérêts vitaux de la personne concernée.

La plupart du temps, la base légale sur laquelle repose le recueil de la donnée personnelle est le consentement (article 7 du RGPD). Il faut donc s’assurer de disposer de la preuve du consentement des personnes concernées pour chaque donnée personnelle recueillie.

3- Audit des traitements de données personnelles

L’étape suivante consiste à déterminer pourquoi et comment ces données personnelles sont utilisées.

En effet, le RGPD impose de :

  • Faire la liste de tous les traitements de données : collecte, enregistrement, consultation, l'utilisation, communication par transmission, la diffusion, profilage etc.
  • Décrire les objectifs de ces traitements,
  • Identifier la durée de traitement,
  • Indiquer qui a accès aux données,
  • Mentionner le transfert de ces données hors UE s’il y a lieu.

En résumé, vous devez identifier :

  1. La finalité des données : pourquoi vous collectez des données ? A quoi servent-elles ?
  2. Les traitements de données réalisés : comment sont utilisées ces données ? Que faites-vous de ces données ?

L’article 30 RGPD impose à chaque organisme de déclarer dans un registre de traitements de données personnelles ce que vous faites des données collectées et utilisées.

👉 Si vous tenez déjà un registre des traitements, auditez-le afin de vérifier qu’il ne manque aucune information ni aucun traitement de données personnelles.

💡 Psst ! Déclarez l'ensemble de vos traitements de données personnelles et maintenez-les à jour facilement avec notre Logiciel RGPD : Registre des traitements RGPD.

4- Audit de la sécurité des données

Cet audit technique consiste à identifier et analyser les risques pesant sur les données personnelles stockées dans les bases de données, les outils, les serveurs, les réseaux ou encore les postes de travail (ordinateur, tablette, smartphones etc).

L’audit de sécurité des données personnelles consister notamment à tester :

  • Le niveau de sensibilisation des utilisateurs : information et sensibilisation des personnes manipulant les données, rédaction d’une charte informatique
  • La politique d’authentification des utilisateurs : limitation du nombre d’accès à un compte, adoption d’une politique de gestion des mots de passe conforme aux recommandations de la CNIL ;
  • La gestion des habilitations : suppression des accès obsolètes, audit périodiques des habilitations, définition des périmètres de confidentialité ;
  • La sécurisation des postes de travail : verrouillage automatique des sessions, utilisation d’antivirus, installation d’un pare-feu ;
  • La sécurisation des postes de travail de travail mobiles : sauvegarde et synchronisation régulière des données, moyens de chiffrement des équipements mobiles, code secret pour le déverrouillage des smartphones professionnels etc;
  • Protection du réseau informatique interne : niveau de sécurisation des accès distants, mise en œuvre le protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi;
  • Niveau de sécurisation des réseaux : délai d’installation des mise à jours critique, accès aux outils et interfaces d’administration;
  • Niveau de sécurisation des sites web : contrôle des entrées, utilisation du protocole TLS, bandeau de consentement pour les cookies;
  • Prévision de sauvegardes régulières pour permettre la continuité de l’activité en cas de violation des données;
  • Etc.

Tous les aspects de la sécurité des données doivent être inspectés. Prévoyez des tests d’intrusion, auditez les procédures à suivre en cas de fuite de données ainsi que les d’anonymisation et/ou de pseudonymisation des données.

Cet audit permet d’identifier les points pour lesquels la sécurité n’est pas assurée.

👉 Besoin d’aide pour identifier les risques pesant sur les données personnelles et les limiter ? Pour vous aider, Leto propose un module de gestion des risques vous permettant de mesurer les risques et leur impact pour les individus.

5- Le rapport d’audit RGPD

L’audit RGPD se termine par la rédaction d’un rapport d’audit RGPD. Ce document liste :

  • Les points conformes aux exigences ;
  • Les points non conformes aux exigences
  • ainsi que les recommandations de mesures correctives.

Le rapport d’audit RGPD doit permettre d’établir une cartographie exhaustive des données personnelles et de leurs traitements au sein d’une organisation.

Toutes les informations compilées dans le rapport d’audit permettent d’identifier les points faibles de votre conformité RGPD. Ce rapport est une base pour construire ensuite le plan d’action de mise en conformité RGPD.

Ce plan d’action de mise en conformité RGPD a pour objectif de :

  • Lister les problèmes de sécurité en matière de données personnelles;
  • Classer ces risques par ordre de priorité (selon leur dangerosité pour l’entreprise);
  • Identifier des actions correctrices à mettre en place selon un planning basé sur leur degré d’urgence.

Réaliser périodiquement un audit RGPD après un premier travail de mise en conformité est essentiel pour maintenir votre conformité RGPD !

Quel est le prix d'un audit RGPD ?

Le tarif d'un audit RGPD dépend généralement du profil de l'intervenant, auquel vous devez ajouter le coût du temps passé par les équipes en interne. Une solution comme Leto vous permet de réaliser en autonomie l'exercice. Cependant, si vous avez besoin d'assistance, il faut compter en général entre 500 et 2000€ / jour, et le volume de jours alloué peut dépendre de la taille de votre entreprise ou la nature de votre activité.

💡 Aidez-vous d’un logiciel RGPD pour vous épauler et optimiser vos coûts:  le logiciel RGPD Leto, qui permet à tout non-juriste de pouvoir administrer automatiquement l’ensemble des données !

👍 Pour plus d’information, Leto met à votre disposition un livre blanc sur les 10 étapes pour se mettre en conformité avec le RGPD.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?