Contact
Nous contacter

Les clés pour réussir son audit RGPD par Aumans Avocats

  • Publié le: 24 octobre 2018

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques RGPD.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;
  • de suivre les différents traitements de données et leur historique ;
  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;
  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;
  • de vérifier le niveau de sécurité des données personnelles et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

La désignation d’un Data Protection Officer (DPO) est cruciale pour le pilotage de la conformité.
C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Pour en savoir davantage sur le rôle clé du DPO, découvrez comment fonctionne le DPO externalisé

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

En complément, consultez notre dossier complet sur les contrôles et sanctions RGPD par la CNIL afin de mieux comprendre les exigences du régulateur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL1 comme d’autres autorités de contrôles (l’ICO2 britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer un audit RGPD ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobiliser autour de ce projet ;
  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;
  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;
  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;
  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).
  • Utiliser des outils de conformité RGPD performants garantit un audit efficace et complet.

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;
  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;
  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;
  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, …).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;
  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;
  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;
  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque.

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Autres enjeux incontournables de la conformité RGPD : la gouvernance effective des données personnelles et l’importance des AIPD

La gouvernance effective des données est un concept directement tiré de l’article 5 du RGPD qui signifie que la mise en place de politiques, mesures techniques et organisationnelles internes ne se suffisent pas à elles-mêmes. En effet, ces mesures impliquent une certaine effectivité dans le temps : de la collecte des données à leur suppression, en passant par leur sécurisation et leur exploitation conforme au RGPD. Autrement dit, une gouvernance effective n’est pas figée dans le temps. Elle nécessite des ajustements constants, des révisions régulières et des contrôles/audits rigoureux pour s’adapter aux nouveaux défis et garantir une protection durable des données personnelles.

Une telle gouvernance repose sur plusieurs éléments fondamentaux :

  • L’organisation interne et le rôle du DPO : sa désignation et les ressources allouées sont essentielles pour piloter la conformité, notamment en étant associé dès la conception des traitements. A propos du DPO, la CNIL parle de « maillon essentiel de la gouvernance de la donnée »3 que « Le RGPD place […] en acteur clé du système de gouvernance des données personnelles »4
  • Le suivi des obligations contractuelles : dans la relation entre responsable de traitement et sous-traitant, des contrôles « réguliers et satisfaisants » sont indispensables, comme l’a précisé la CNIL dans sa délibération SAN-2022-018 Infogreffe5.
  • La gestion des incidents de conformité et des demandes : une gouvernance structurée doit prévoir des procédures pour gérer les violations de données personnelles et les demandes d’exercice des droits des personnes concernées.
  • La gouvernance effective implique aussi l’intégration d’AIPD dans les processus internes pour garantir la conformité et prévenir les risques.

L’absence d’un cadre de gouvernance structuré avec de tels paramètres peut entraîner des manquements graves au RGPD et des sanctions conséquentes, comme l’a démontré le cas de la société Discord.

L’exemple de Discord : une sanction notamment liée à un défaut de gouvernance

En novembre 2022, la CNIL a sanctionné la société Discord Inc6 d’une amende de 800 000 euros pour plusieurs manquements au RGPD, dont l’absence de réalisation d’une AIPD (art 35 RGPD7) pour certains traitements à risque. Discord, qui exploite une plateforme de communication largement utilisée par un jeune public, collectait et traitait un volume important de données personnelles. Cependant, l’entreprise n’avait pas procédé à une évaluation approfondie des risques liés à ces traitements par la réalisation AIPD.

Ici, le manquement est directement lié à un défaut de gouvernance des données : une organisation avec une gouvernance robuste aurait mis en place des processus internes clairs pour identifier les traitements à risque et déclencher automatiquement une AIPD lorsque cela est nécessaire. L’absence d’une telle démarche montre une lacune dans la gestion des données personnelles au sein de l’organisation.

Absence de registre des traitements :

Une gouvernance effective des données ne s’arrête pas aux AIPD. Elle repose aussi sur des outils tout aussi essentiels comme le registre des activités de traitement, exigé par l’article 30 du RGPD. Depuis juin 2024, la CNIL a prononcé 11 sanctions – dans le cadre de sa procédure simplifiée – à l’égard de plusieurs organisations dont certaines pour l’absence d’un tel registre, y compris à l’encontre de deux entreprises de moins de 250 salariés. Ce registre, qui recense entre autres les données collectées, leurs finalités et les accès, est – selon la CNIL – « un outil de pilotage et de démonstration de la conformité » 8.

L’essentiel :

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

  1. https://www.cnil.fr/fr/les-labels-cnil ↩︎
  2. https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf ↩︎
  3. https://www.cnil.fr/sites/cnil/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf p2 ↩︎
  4. https://www.cnil.fr/sites/cnil/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf p4 ↩︎
  5. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956 pt46 ↩︎
  6. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046562676 ↩︎
  7. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr ↩︎
  8. https://www.cnil.fr/fr/onze-nouvelles-sanctions-procedure-simplifiee ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le RGPD