Comment réaliser un audit RGPD en bonne et due forme ?

 

Pour de nombreuses organisations, se préparer au règlement général sur la protection des données (RGPD) de l’Union européenne (UE) a été une entreprise de longue haleine. Malheureusement, le travail n’est pas terminé. Maintenant qu’il est en vigueur, les entreprises devront effectuer des audits internes réguliers pour évaluer leur niveau de conformité. La capacité à documenter ces audits sera vitale en cas de violation ou de plainte, car montrer qu’un effort de bonne foi a été fait pourrait aider à éviter une grosse pénalité.

La conformité n’est pas un programme « à mettre en place et à oublier ». Les entreprises sont censées se conformer à la réglementation ainsi que mettre en place un contrôle régulier pour s’assurer qu’elles restent conformes.

 

Pourquoi vous devriez effectuer un audit RGPD ?

Il est important de réaliser des audits RGPD pour vérifier que les processus sont en place pour faire face aux tâches requises, y compris le droit à l’oubli et la portabilité des données. Cela permet aux responsables de la protection des données (DPO) et au personnel de savoir que faire en cas de violation.

L’examen complet des processus par le biais d’un audit fournit des mesures qui peuvent être utilisées pour améliorer les processus. Cela fournit également un élément de conformité clé, soit prouver que votre entreprise a de tels processus en place et en fonctionnement, avant que les problèmes ne se produisent comme le veut la loi. Plus précisément, il peut également aider à améliorer la préparation générale de la réponse aux enquêtes, ce que toutes les entreprises devraient faire pour minimiser leur risque de perte de données.

Les audits du RGPD impliqueront probablement des personnes extérieures à la sécurité, notamment la gouvernance des données, l’informatique, le juridique et les ressources humaines. Il est clair qu’une grande partie de l’attention sera portée sur les programmes de cybersécurité. 

Consultez cette page pour savoir comment réaliser un audit rgpd sécurisé en 2022.

 

Créer un plan d’audit RGPD

La première étape consiste à disposer d’un plan détaillé et d’un ensemble de processus écrits, actionnables et assignables qui passent en revue les exigences de la loi étape par étape. 

Dans le cadre de cette phase initiale, les entreprises doivent évaluer quelles données des résidents de l’UE, elles collectent, où elles sont stockées, et comment et où elles sont traitées. L’audit doit permettre de s’assurer que ces données sont correctement identifiées. Une fois identifiées, des mesures de conformité peuvent être spécifiées.

 

Le plan doit inclure un moyen d’identifier les détails des résidents de l’UE qui ont été exposés et si ces enregistrements étaient protégés par un cryptage. Si c’est le cas, les étapes de la notification sont radicalement différentes. L’audit devrait montrer comment chaque cas est traité. Les meilleures pratiques prévoiraient également qu’une piste d’audit médico-légale complète est en place pour aider à répondre aux questions et à prouver la conformité.

Lorsque vous élaborez un plan d’audit pour le RGPD, gardez à l’esprit que les entreprises doivent être conscientes des données qu’elles détiennent tout au long de leur cycle de vie. Malheureusement, le RGPD est un règlement vague qui nous laisse avec beaucoup de questions ouvertes, ce qui ajoute à la complexité de la conformité. Les organisations doivent donc mettre en œuvre un plan d’audit autour du cycle de vie des données personnelles. Cela inclut la classification des données personnelles et la gestion du risque lié aux données, de la sécurité et de la chaîne d’approvisionnement.

 

Rechercher les lacunes en matière de conformité au RGPD et signaler les résultats

Il est nécessaire de revoir votre programme actuel de conformité au RGPD. Cela comprend :

  • les registres de traitement ; 
  • le processus de demande d’accès des personnes concernées ;
  • les contrôles techniques et de sécurité ;
  • les principes de confidentialité ;
  • et les mécanismes de transfert de données.

Le RGPD a un impact sur la majorité des départements d’une organisation. La phase de découverte de l’audit consistera en des entretiens et un examen de la documentation/des politiques avec tout département traitant des données personnelles ou responsable de la gouvernance, des opérations ou des contrôles techniques relatifs aux données personnelles.

Cela permettra de déterminer la capacité de l’organisation à s’aligner sur les règles du RGPD. Les séances de découverte devraient inclure l’efficacité de l’organisation à répondre aux exigences, notamment :

  • les demandes d’accès des sujets ;
  • les principes de confidentialité ;
  • les contrôles techniques et de sécurité ;
  • l’application du RGPD ;
  • les transferts de données en dehors de l’UE vers des pays n’ayant pas fait l’objet d’une décision d’adéquation ;
  • la surveillance et contrats des sous-traitants ;
  • la réponse aux violations de données et la notification à une autorité de contrôle et aux personnes concernées ;
  • la méthodologie d’évaluation de l’impact sur la vie privée ;
  • la démonstration de la protection des données par conception et par défaut ;
  • le suivi continu du programme de conformité.

Panoractu.com 2021 © Tout droit réservés