Mydatasolution-RGPD-Logo
contactez un expert
Mydatasolution-RGPD-Logo

5 étapes pour réaliser un audit RGPD

La culture éthique en entreprise : un atout incontournable pour la réussite durable Dans un monde des affaires de plus en plus concurrentiel, les entreprises doivent constamment chercher des moyens pour se démarquer et réussir. Parmi les stratégies qui se sont révélées particulièrement efficaces, la culture éthique en entreprise occupe une place de choix. De plus en plus d’organisations reconnaissent l’importance de mettre en place une culture éthique solide pour atteindre leurs objectifs et prospérer. Dans cet article, nous explorerons les avantages indéniables d’une culture éthique en entreprise, les étapes nécessaires pour la développer.

5 étapes pour réaliser un audit RGPD

Audit de l’ensemble des outils de l’organisme

La première phase de cette vérification consiste à repérer tous les outils susceptibles de contenir des données personnelles.

Cet audit implique d’identifier :

✅ Tous les systèmes d’information et les flux de données

Dans cette étape, il est essentiel de recenser tous les outils, logiciels et bases de données utilisés dans le cadre de l’activité professionnelle : logiciels de paie, CRM, gestion de projet, campagnes marketing, analyse de site web, logiciels financiers, etc.

Les données sont omniprésentes et leur localisation dans le système d’information de l’entreprise peut parfois être complexe. Il est nécessaire de dresser une liste exhaustive de tous les outils numériques, ainsi que des supports non numériques tels que les formulaires papier, par exemple.

De plus, il est primordial de répertorier tous les flux de données entre les différents systèmes de l’entreprise, ainsi qu’avec les systèmes externes. Il convient d’identifier les interfaces, les API (Application Programming Interface) permettant l’échange de données entre différents outils, les exports de fichiers et les flux de courriels.

Cette analyse des outils permet de déterminer l’emplacement des données et leur circulation au sein de l’organisation.

✅ Les types de données contenues dans ces outils

Pour chaque outil ou logiciel répertorié, il est nécessaire d’identifier les données qui y sont stockées, en mettant particulièrement l’accent sur les données personnelles.

Le RGPD définit les données personnelles de manière large (article 4 du RGPD), englobant toutes les informations se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.

Certaines données personnelles sont facilement identifiables, telles que le nom ou le prénom. D’autres données, dites « indirectes », telles qu’un numéro de téléphone, un numéro de client ou une date de naissance, permettent également l’identification d’une personne. Toutes ces données sont protégées par le RGPD.

En revanche, les données relatives aux entreprises, considérées comme des personnes morales, ne sont pas concernées par le RGPD, à l’exception des informations relatives à l’identité et aux contacts des personnes physiques avec lesquelles une entreprise interagit dans un contexte B2B (Business to Business).

Audit des mécanismes de collecte des données personnelles

✅ Vous avez établi une liste complète de tous vos outils.

✅ Vous avez identifié les emplacements où les données personnelles sont stockées.

🔜 Maintenant, vous devez identifier les sources de collecte de données.

Cette étape consiste à examiner et à analyser les différentes sources de collecte de données utilisées dans votre organisation. Tous les moyens de collecte de données doivent être répertoriés.

Il est important de rappeler que la collecte de données personnelles doit reposer sur l’une des six bases légales établies par le RGPD (article 6 du RGPD). Pour chaque méthode de collecte de données, l’auditeur RGPD vérifie le mode de collecte et s’assure qu’il est conforme au RGPD.

En résumé, l’audit des mécanismes de collecte vise à identifier :

  • Chaque source de collecte de données personnelles : formulaires en ligne, formulaires papier, cookies sur le site web, données recueillies par téléphone, etc.
  • Si les données ont été collectées en se basant sur l’une des bases légales suivantes :
    • Le contrat,
    • Le consentement,
    • Le respect d’une obligation légale,
    • L’intérêt légitime du responsable de traitement,
    • L’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
    • La sauvegarde des intérêts vitaux de la personne concernée.

La plupart du temps, la base légale utilisée pour la collecte de données personnelles est le consentement (article 7 du RGPD). Il est donc essentiel de s’assurer d’avoir une preuve du consentement des personnes concernées pour chaque donnée personnelle collectée.

Audit des traitements de données personnelles

La prochaine étape de l’audit consiste à examiner en détail pourquoi et comment les données personnelles sont utilisées au sein de l’organisation.

En effet, le RGPD exige que vous :

  • Dressiez une liste exhaustive de tous les traitements de données, incluant la collecte, l’enregistrement, la consultation, l’utilisation, la communication par transmission, la diffusion, le profilage, etc.
  • Décriviez les objectifs de chaque traitement.
  • Identifiiez la durée pendant laquelle les données sont traitées.
  • Indiquiez qui a accès à ces données.
  • Mentionniez tout transfert de ces données en dehors de l’Union européenne, le cas échéant.

En résumé, cette étape implique d’identifier :

  • La finalité des données : pourquoi sont-elles collectées ? Dans quel but sont-elles utilisées ?
  • Les différents traitements de données effectués : comment ces données sont-elles utilisées concrètement ? Quelles opérations sont effectuées sur ces données ?
  • Conformément à l’article 30 du RGPD, chaque organisme est tenu de consigner dans un registre de traitements de données personnelles toutes les activités relatives à ces données.

👉 Si vous disposez déjà d’un registre des traitements, il est nécessaire de l’auditer afin de vous assurer qu’il contient toutes les informations requises et qu’aucun traitement de données personnelles n’a été omis.

Audit de la sécurité des données

Cet audit technique vise à identifier et analyser les risques pesant sur les données personnelles stockées dans les bases de données, les outils, les serveurs, les réseaux, ainsi que sur les postes de travail tels que les ordinateurs, tablettes et smartphones.

L’audit de sécurité des données personnelles comprend notamment :

  • Le niveau de sensibilisation des utilisateurs : il s’agit d’évaluer l’information et la sensibilisation des personnes manipulant les données, ainsi que la rédaction d’une charte informatique.
  • La politique d’authentification des utilisateurs : cela englobe la limitation du nombre d’accès à un compte et l’adoption d’une politique de gestion des mots de passe conforme aux recommandations de la CNIL.
  • La gestion des habilitations : cela inclut la suppression des accès obsolètes, les audits périodiques des habilitations et la définition des périmètres de confidentialité.
  • La sécurisation des postes de travail : cela suppose le verrouillage automatique des sessions, l’utilisation d’antivirus et l’installation d’un pare-feu.
  • La sécurisation des postes de travail mobiles : cela comprend la sauvegarde et la synchronisation régulière des données, l’utilisation de moyens de chiffrement des équipements mobiles, et l’utilisation de code secret pour le déverrouillage des smartphones professionnels.
  • La protection du réseau informatique interne : cela implique la sécurisation des accès distants, la mise en œuvre du protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi.
  • La sécurisation des réseaux : cela inclut le délai d’installation des mises à jour critiques et l’accès aux outils et interfaces d’administration.
  • La sécurisation des sites web : cela concerne le contrôle des entrées, l’utilisation du protocole TLS, et l’affichage d’un bandeau de consentement pour les cookies.
  • La prévision de sauvegardes régulières pour permettre la continuité de l’activité en cas de violation des données.

Tous les aspects de la sécurité des données doivent être inspectés. Il est recommandé de prévoir des tests d’intrusion, d’auditer les procédures à suivre en cas de fuite de données, ainsi que les méthodes d’anonymisation et/ou de pseudonymisation des données.

Cet audit permet d’identifier les points pour lesquels la sécurité n’est pas assurée.

Le rapport d’audit RGPD

À la conclusion de l’audit RGPD, un rapport est rédigé. Ce document recense :

  • Les points conformes aux exigences du RGPD ;
  • Les points non conformes aux exigences du RGPD ;
  • Et les recommandations de mesures correctives.

Le rapport d’audit RGPD a pour but d’établir une cartographie exhaustive des données personnelles et de leurs traitements au sein de l’organisation.

Toutes les informations compilées dans ce rapport permettent d’identifier les points faibles de votre conformité RGPD. Il sert de base pour élaborer le plan d’action de mise en conformité RGPD.

Ce plan d’action vise à :

  • Lister les problèmes de sécurité concernant les données personnelles ;
  • Classer ces risques par ordre de priorité, en fonction de leur gravité pour l’entreprise ;
  • Identifier des actions correctrices à mettre en œuvre, en respectant un planning basé sur leur urgence.

Réaliser périodiquement un audit RGPD est essentiel pour maintenir votre conformité RGPD !

Partager ce poste :

Twitter
LinkedIn

Nous suivre :

Linkedin Twitter

Les postes à pourvoir :

Les postes à pourvoir :

Inscrivez-Vous À Notre Newsletter

« Restez informé sur les dernières tendances et développements en matière de conformité RGPD avec notre newsletter. Inscrivez-vous dès maintenant pour recevoir des mises à jour régulières sur les normes et réglementations en vigueur, ainsi que des conseils pratiques pour assurer la conformité de votre entreprise. Ne manquez pas une occasion de vous tenir au courant de tout ce qui concerne la conformité RGPD avec mydatasolution. »

Vos données à caractère personnel sont traitées par My Data Solution, responsable de traitement, à des fins de gestion des demandes de contact. Pour en savoir plus sur vos données et vos droits, veuillez consulter notre Politique de confidentialité.

Mydatasolution-RGPD-Logo
Twitter Linkedin Youtube

Navigation :

Nos Métiers :

Infos Légales :

Nos Métiers :

Conseil RGPD

Externalisation RGPD

Logiciel RGPD

RGPD par Secteurs d'Activités :

Mydatasolution-RGPD-Logo
Twitter Linkedin Youtube
Conseil RGPD
Externalisation RGPD
Logiciel RGPD
Expertise
Ecosystème RGPD
Accompagnement près de chez vous
Accompagnement près de chez vous
Conformité dans votre secteur
Navigation
Infos Légales
Le programme de modernisation du logiciel métier de la SAS « MY DATA SOLUTION » est cofinancé par l’Union Européenne et la Région Réunion
RGPD Europe
Région Réunion
0.04g of CO 2 /viewWebsite Carbon

🇫🇷 My Data Solution est hébergé, conçu et développé en France

Mydatasolution-RGPD-Logo
contactez un expert