Guide complet pour réaliser un audit RGPD : étapes clés et conseils pratiques

Avec l’essor des nouvelles technologies numériques et leur généralisation dans notre vie quotidienne, la protection des données à caractère personnel est devenue en quelques années, un enjeu majeur de la conformité des entreprises.

Les manquements au RGPD sont en effet lourdement sanctionnés, les amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial et 20 millions d’euros pour les manquements les plus graves.

En outre, toutes les entreprises sont concernées. En France, les mises en demeure et les sanctions prononcées par la CNIL concernent tout type de professionnels, allant des Gafam (Google, Microsoft), aux TPE/PME ou professionnels indépendants.

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, la conformité des entreprises se fonde sur le principe d’accountability (Auparavant, la loi Informatique et libertés n° 78-17 du 6 janvier 1978 prévoyait un mécanisme de déclaration auprès de la CNIL).

En vertu du principe d’accountability, les entreprises sont tenues de justifier de leur conformité au RGPD, notamment dans le cas où la CNIL procède à un contrôle.

Elles doivent ainsi auditer leurs pratiques et produire un certain nombre de documents obligatoires (registre des activités de traitement, information des personnes concernées, registre des violations de données, registre de suivi des demandes de droits des personnes concernées, etc.)

Si vous êtes dans une démarche de mise en conformité, l’audit RGPD est la première étape de la mise en conformité au RGPD de votre activité.

Qu’est-ce qu’un audit RGPD ? Définition et objectifs

Un audit RGPD permet d’évaluer la conformité d’une entreprise au RGPD et d’établir une feuille de route, listant les actions de remédiation à implémenter.

Il permet par ailleurs de justifier de votre démarche de mise en conformité auprès de vos clients et partenaires commerciaux ou de la CNIL en cas de contrôle.

L’audit RGPD poursuit plusieurs objectifs :

Vérifier votre conformité : la méthodologie suivie est l’analyse des écarts entre les pratiques de l’entreprise et vos obligations au titre du RGPD

Identifier et évaluer les risques : suivant la nature des écarts constatés et le degré de manquement, l’entreprise identifie les non-conformités et les risques associés. Cela permet de prioriser les actions à mettre en œuvre pour remédier aux non-conformités et diminuer les risques associés ;
Améliorer vos pratiques internes : l’analyse des écarts oblige l’entreprise à repenser son organisation et sa gouvernance suivant les exigences du RGPD (établissement de procédures internes, charte informatique etc.). Elle permet également de se tenir à jour des meilleures pratiques en matière de protection des données ;

Renforcer la confiance : la conformité au RGPD est un gage de confiance de la protection des droits des personnes concernées. Elle est aussi un atout commercial dans vos relations avec vos clients et partenaires (notamment lorsque vous mettez à
disposition de vos clients un outil privacy by design) ;
Limiter le risque de sanctions : l’établissement de la feuille de route avec un calendrier dédié permet à l’entreprise de remédier aux non-conformités et de limiter le risque de sanction en cas de contrôle de la CNIL ;
Il est à ce titre recommandé de mettre à jour annuellement votre audit RGPD afin de suivre les nouvelles pratiques de votre entreprise et de prendre en compte les nouveaux projets.

Comment bien préparer son Audit RGPD ?

Un audit RGPD complet nécessite la mobilisation d’une équipe dédiée, composée généralement du Délégué à la Protection des Données (DPO) (si vous en avez désigné), des responsables informatiques, des responsables juridiques, des responsables de chaque département concerné (RH, commercial, etc.) et parfois de consultants externes spécialisés en conformité.

La première étape consiste à planifier l’audit en définissant son périmètre, les départements à auditer, les méthodes de collecte des informations, ainsi que le calendrier.
À ce titre, il est recommandé de préparer un questionnaire d’audit, par département, permettant d’identifier les traitements de données personnelles réalisés et leurs modalités, notamment les outils utilisés, les modalités de stockage, les accès, les mesures de sécurité techniques, etc.

Il convient par ailleurs de lister tous les documents nécessaires à l’analyse des écarts (mentions d’information RGPD dans les contrats, sur le site internet ou les applications, formulaire de collecte de données, registres, procédures internes, charte informatique, attestation de formation des équipes au RGPD, etc.)

Les étapes d’un audit RGPD complet

Cartographier les traitements par département

L’audit RGPD commence par une cartographie des traitements de données personnelles. Il s’agit de recenser, grâce aux interlocuteurs dédiés, toutes les données collectées par l’entreprise suivant les différents départements :

– Nature des données (noms, adresses, informations bancaires, etc.),
– Origine (collecte directe ou indirecte), moyens de collecte (en ligne, par téléphone, sur internet, via un data broker),
– Finalités,
– Destinataires (en interne et en externe : partenaires, prestataires, clients, autorités),
– Outils utilisés,
– Supports de stockage,
– Transfert en dehors de l’Union européenne, et
– Durée de conservation.

Cette étape permet de visualiser l’ensemble des flux de données au sein de votre entreprise et en dehors de celle-ci. Elle permettra également par la suite de formaliser ou de mettre à jour votre registre des activités de traitement.

Analyser la documentation interne :

Une fois la cartographie établie, il est temps d’analyser la documentation en lien avec la gestion des données personnelles (si existante). Cela inclut notamment :

– La gouvernance : désignation d’un DPO auprès de la CNIL et/ou désignation en interne d’un interlocuteur RGPD ;
– Le registre des activités de traitement : analyse du registre des activités de traitements et comparaison avec la cartographie desdits traitements ;
– Les politiques de confidentialité : analyse des politiques de confidentialité ou mentions d’information RGPD ;
– Les processus de consentement : analyse des formulaires de recueil de consentement ;
– La gestion des droits des personnes : analyse de la gestion des demandes de droits par l’entreprise et de la procédure y afférente ;
– La gestion des violations de données : analyse du plan d’action en cas d’incident de sécurité et de la procédure y afférente ;
– L’identification et l’encadrement des relations avec les sous-traitants RGPD : analyse des contrats avec les prestataires, sous-traitants RGPD ;
– La sécurité des données : analyse de la documentation relative à la sécurité organisationnelle et technique.

Les étapes d’un audit RGPD complet

L’audit RGPD implique d’analyser les écarts entre les pratiques de l’entreprise (constatations issues de la cartographie des traitements et de la documentation) et les obligations imposées par le RGPD.
À ce titre, l’audit doit répondre notamment aux questions suivantes :

Description de l’entreprise auditée
Chantier 1 – Gouvernance : l’entreprise est-elle dans l’obligation de désigner un
DPO ? A-t-elle désigné un DPO ? A-t-elle désigné un référent RGPD ou un réseau de « relais Informatique et Libertés » ?
Chantier 2 – Licéité des traitements : chaque traitement poursuit-il des finalités déterminées, légitimes et explicites ? Une base légale a-t-elle été identifiée pour chacun de ces traitements ? Seules les données strictement nécessaires sont-elles collectées ? L’entreprise agit-elle en qualité de responsable de traitement, de sous-traitant ou de coresponsable de traitement pour les traitements concernés ? Ces traitements sont-ils cartographiés dans un registre des activités de traitement ? Une analyse d’impact relative à la protection des données (AIPD) doit-elle être réalisée ?
Chantier 3 : Information des personnes concernées : les personnes concernées sont-elles informées des traitements les concernant ? Ces informations sont-elles claires, accessibles et mentionnent-elles toutes les informations requises par les articles 13 (collecte directe) et 14 (collecte indirecte) du RGPD ? Sont-elles communiquées préalablement à la transmission des données en cas de collecte directe ?
Chantier 4 – Recueil de consentement : le traitement repose-t-il ou doit-il reposer sur le consentement de la personne concernée ? Le consentement est-il obtenu de manière libre, spécifique, éclairé et explicite ?
Chantier 5 – Gestion des droits des personnes : l’entreprise respecte-t-elle les règles encadrant l’exercice des droits des individus notamment d’accès, de rectification, de suppression, et de portabilité des données ? Les personnes concernées peuvent-elles effectivement exercer leurs droits auprès de l’entreprise (adresse de contact dédiée, réponse dans le délai d’un mois) ?
Chantier 6 – Durées de conservation : des durées de conservation sont-elles appliquées à chaque finalité de traitement ? Ces durées sont-elles proportionnées ?
Chantier 7 – Gestion des violations de données : existe-t-il un plan d’action en cas de violation de données ? Ce plan intègre-t-il la procédure de notification à la CNIL et aux personnes concernées ? Est-il testé régulièrement ? L’entreprise tient-elle à jour le registre des violations de données ?
Chantier 8 – Encadrement des transferts hors UE : existe-t-il des transferts de données hors UE ? Des garanties appropriées sont-elles mises en œuvre (décision d’adéquation, clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR), etc.) ?
Chantier 9 – Encadrement des relations avec les sous-traitants RGPD : les sous-traitants qui traitent des données personnelles pour le compte de l’entreprise sont-ils conformes au RGPD ? Les contrats avec ces sous-traitants prévoient-ils un accord sur les traitements de données (DPA) stipulant leurs obligations en matière de protection des données, et leur engagement à respecter les mêmes standards de sécurité ?
Chantier 10 – Sécurité des données : la sécurité des données personnelles est un enjeu majeur du RGPD. Quelles sont les mesures de sécurité organisationnelles et techniques en place pour protéger les données contre les accès non autorisés, la perte ou la destruction accidentelle ? L’entreprise est-elle dotée d’une charte informatique ? d’un PCA/PRA ? L’entreprise réalise-t-elle des audits de sécurité régulée ? Est-elle certifiée ?
Chantier 11 – Sensibilisation : les salariés ont-ils suivi des formations au RGPD spécifiques à leur domaine d’activité ? A quelle fréquence ?

Analyser les résultats de votre audit : conseils pour une évaluation efficace

L’analyse des résultats doit être la plus neutre possible. Il convient de prendre en compte : le type de traitement concerné par le manquement (haut risque si données sensibles,usage d’une IA, finalité publicitaire et marketing, surveillance systématique) ;le degré d’écart du manquement par rapport aux obligations (par exemple, les personnes concernées sont bien informées mais cette information n’est pas
Complète).

Afin de faciliter votre évaluation de l’audit, il est préconisé d’établir un tableau listant les obligations du RGPD, et pour chaque obligation, les écarts constatés et l’évaluation associée. Pour une meilleure lecture et analyse, il est possible de regrouper les obligations par chantiers, afin d’avoir à la fois une note d’ensemble par chantier et une note globale de la conformité de l’entreprise.

Cela vous permettra de prioriser certains chantiers suivant l’urgence et les risques associés aux manquements.

Pourquoi faire appel à un expert ?

Avant de se lancer dans un audit RGPD, il est crucial de maîtriser les principes fondamentaux du RGPD.

La production de l’audit RGPD nécessite en effet une réelle expertise, quelle soit juridique (parfaite connaissance du RGPD et de la loi informatique et libertés) ou technique (parfaite connaissance de la sécurité des systèmes d’information).

En outre, la production de l’audit RGPD peut s’avérer très chronophage.

Ainsi, si vous ne disposez pas de cette expertise et des compétences associées au sein de votre entreprise et/ou que vous souhaitez externaliser la mission, vous pouvez vous faire accompagner d’un Data Protection Officer (DPO) ou d’un avocat expert en droit de la protection des données personnelles.

Si vous souhaitez vous faire accompagner, Virtual DPO est là pour vous assister. Pour plus d’informations, notre offre audit RGPD est accessible ici.