+33 6 16 93 97 82 contact@tfmbconsulting.com

audit RGPD TFMB Consulting

Un audit de protection des données permet de prévenir des condamnation de la CNIL.  Elle peut effectuer un contrôle soit par sa propre initiative ou suite à la plainte d’un client, un prospect mais également un salarié. En effet, un salarié mécontent ou en conflit avec sa direction peut contacter la CNIL en cas traitement illégal de données personnelles. C’est pourquoi, procéder à un audit RGPD, peut se révéler intéressant pour un organisme. Mais, lorsque nous évoquons un audit, de quoi s’agit-il ? Et pourquoi est-ce important pour un organisme traitant des données personnelles ?

Un audit RGPD c’est quoi ?

C’est un processus méthodique, indépendant et documenté effectué par un auditeur qui recherche des preuves afin de pouvoir évaluer de manière objective dans quelle mesure les critères d’audits sont satisfaits.

L’auditeur a un devoir de déontologie. Il doit réaliser l’audit de manière éthique, avec honnêteté et responsabilité. L’auditeur doit être impartial (être juste et sans parti pris dans ses actions). Il doit évidemment signer un accord de confidentialité pour répondre aux obligations du secret professionnel. En effet, il est amené à recueillir des informations juridiques, techniques, voire stratégique de l’organisme afin de pouvoir s’assurer que l’organisme respecte véritablement le RGPD.

Ensuite, il dresse des constats objectifs sur l’état de la conformité de l’organisme au RGPD sur la base des normes ISO. Enfin, il mesure les écarts entre ce référentiel et les pratiques dans un rapport d’audit.

Pourquoi est-il important d’effectuer un audit RGPD ?

Il est important d’effectuer un audit RGPD des traitement de données d’un organisme afin de prendre conscience de l’état de la conformité. Le cas échéant, en cas de violation du RGPD, l’audit va permettre d’intervenir sur les points faibles identifiés. Ensuite, un organisme pourra mettre en place son registre de traitement, suite au recueil d’information (les données personnelles utilisées et la finalité de leur traitement) afin de respecter l’accountability/responsabilité (en français) (obligation pour les organismes de mettre en œuvre des mécanismes et des procédures démontrant le respect au RGPD). En effet, le registre de traitement est le premier document que la CNIL souhaitera vérifier en cas de contrôle.

L’audit RGPD peut être effectué en interne, bien que l’on puisse se questionner sur l’impartialité et l’indépendance d’un audit effectué par une personne relié par un contrat de travail à l’organisme qu’il audite. Il peut également être effectuer par un fournisseur ou un partenaire commercial. Mais, il est primordial d’avoir déjà été à l’initiative d’un audit en interne afin de ne pas constater d’irrégularité lorsque ce dernier en effectue un. Enfin une tierce partie peut auditer un organisme tel qu’un DPO externe, conformément à l’article 29 du RGPD

Conclusion

Un audit est un processus indépendant de vérification de la conformité au RGPD. Il existe 3 manières d’effectuer un audit : en interne. par un fournisseur ou un partenaire commercial ou par une tierce partie. Le RGPD exige que les organismes respectent l’accountability. L’audit en est un élément fondamental.

TFMB Consulting est un cabinet de conseil en protection des données personnelles proposant des prestation d’audit RGPD aux associations, collectivités publiques et entreprises, en tant que consultant ou de DPO externe. N’hésitez pas à nous contacter pour aider votre organisme à faire face à ses enjeux.