Audit de conformité RGPD

Audit de conformité RGPD

Cet audit, sur base documentaire d'une part et à partir d'entretiens avec des personnels compétents d'autre part, permet de réaliser un cliché à un instant t de votre niveau de conformité au RGPD et à la législation sur la protection de la vie privée en général. Il étudie à la fois les aspects formels et ceux de sécurité, pour une approche complète et pluridisciplinaire de votre adéquation aux normes en vigueur.

L'audit commence par une discussion confidentielle avec votre conseiller technico-commercial, qui permettra à ce dernier de prendre connaissance de vos besoins particulier. En effet, s'il est légitime d'avoir une approche globale ("je veux connaître mon état global de conformité formelle et sécurité au RGPD"), il est également possible de rechercher une évaluation de certains aspects seulement ("je veux savoir si mon utilisation des cookies par mon site web est conforme" ou "je veux avoir des informations détaillées sur la conformité au RGPD de mon pôle marketing".) Une offre sur-mesure vous est donc adressée et correspondant à vos besoins précis.

Si vous avez déjà mis au point un RAT (Registre des Activités de Traitement), celui-ci s'avérera très utile pour la dimension documentaire de l'audit.

Des entretiens avec des responsables-clés de votre entité seront menés, dans le but de détecter des écarts entre les protocoles et les pratiques, mais également afin d'investiguer quant aux mesures de sécurité mises en place pour protéger les données à caractère personnel.

reverse-engineering

Que vous apporte le rapport d'audit RGPD d'AlgoSecure ?

Nous faisons évoluer nos rapports d'audit pour les élever qualitativement grâce à chaque mission et les adapter au contexte et aux besoins précis de chaque client. Nos rapports sont conçus par nos auditeurs impliqués et passionnés, soucieux de comprendre, d'être compris et de faire progresser leurs interlocuteurs. Les phases de rédaction, de relecture et d'approbation permettent de mettre au point, pour vous, des rapports compréhensibles et rencontrant les attentes formulées préalablement.

Nos rapports sont constitués d'une synthèse globale du niveau de conformité et de sécurité, d'une synthèse par pôle d'activité, si plusieurs sont représentés, et d'un détail de chacun des éléments vérifiés et leur niveau de conformité, ainsi que des recommandations. Ces éléments pourront prendre en compte vos demandes particulières : conformité à un secteur d'activité sensible, priorisation de la criticité ou du coût de mise en oeuvre...

Après l'audit de conformité

Les solutions de remédiation proposées seront suffisamment détaillées pour que vous puissiez les réaliser vous-même ou faire appel aux acteurs de votre choix pour leur mise en oeuvre. Nous serons bien entendu ravis de vous aider dans cette tâche si vous le souhaitez. De plus, en cas d'importantes non-conformités, un contre-audit pourra vous être proposé. Ce dernier vous permettra de garder une vue actualisée et concrète de votre niveau de conformité au RGPD.

Nous voyons bien, au travers de ce processus d'audit, que la conformité au RGPD n'est pas qu'une affaire de formalisme. Certes, le cadre normatif actuel de protection des données personnelles inclut son lot de documentation. Mais il n'est alors pas inutile de nous rappeler que la forme sert et conditionne le fond. Ainsi, si nous arrivons à concevoir une documentation claire et structurée sur la base de nos mesures de protection de la vie privée, cela sera de bonne augure quant à la conformité de ces mesures aux exigences légales en matière de protection des DCP.

RGPD : première phase d'intégration

Le 25 mai 2018 a vu une véritable rupture s'instaurer dans le paysage numérique français, européen et même global. Nous parlons spécifiquement de "paysage numérique" car, soyons francs, le RGPD n'a pas inventé le respect de la vie privée, ni même la protection des données personnelles. Nous disposons en effet en France de la "Loi Informatique et Libertés" (LIL) depuis 1978, et l'avons amendée à plusieurs reprises afin qu'elle dispose de règles pertinentes.

C'est ainsi qu'un arsenal de modérations et de sanctions existait et pouvait être mis en oeuvre devant les juridictions traditionnelles tout comme devant la CNIL. Cet organe a été créé tout particulièrement par la LIL. Il a pour missions à la fois l'accompagnement des acteurs traitant des données personnelles et la sanction de ceux ne respectant pas les règles établies.

La LIL a permis de faire de la France le premier Etat européen doté d'une législation protégeant spécialement les données personnelles. Cette loi a été adoptée dans un contexte où le traitement de données personnelles et le fichage étaient rendus de plus en plus faciles par les moyens informatiques et d'automatisation des années 1970. Depuis, le contexte a beaucoup évolué et explique le choix d'une évolution législative passant par par le biais d'un règlement européen.

Nous pouvons citer quelques évolutions afin de saisir ce changement d'environnement.

  • En premier lieu, l'évolution exponentielle des nouvelles technologies a facilité le traitement de données personnelles, très vite et pour un nombre croissant d'acteurs. Ainsi, ce qui était le problème de certains en 1978 est aujourd'hui le problème de la plupart des acteurs professionnels et institutionnels.
  • Deuxièmement, avec la démocratisation de l'usage d'internet sont arrivés les géants du numérique, fameux GAFA et assimilés, ainsi que les usages de plus en plus intrusifs des technologies connectées. Les nouvelles pratiques sont à prendre en compte dans la modération des traitements de données et dans la sanction des abus, qui sont de plus en plus faciles à commettre.
  • Enfin, bien que nous soyons loin d'avoir listé tous les facteurs en cause, la dissolution des frontières étatiques par le cyberespace permettent couramment la captation de données à caractère personnel des résidents français par des entités étrangères, européennes comme extra-européennes.

L'adoption du RGPD a donc permis d'atteindre le double objectif suivant : protéger les données à caractère personnel (DCP) contre les nouvelles possibilités d'atteinte développées ces dernières décennies ; et prendre en compte l'européanisation et l'internationalisation des échanges, facilités par leur dématérialisation. Une prise de conscience généralisée s'est alors emparée des différents mondes institutionnels et professionnels, en BtoC comme en BtoB, quant aux abus, parfois sans intention malicieuse, qui entachaient la collecte et le traitement de données personnelles.

Nous avons alors assisté à la désignation de nombreux DPO/DPD, dont des DPO externalisés. Les organismes publics et privés se sont pliés aux exercices formels des mentions obligatoires, demandes de consentement explicite (le fameux "opt-in", reléguant les anciens "opt-out" au placard, car ne permettant pas de recueillir un consentement valide) et autres RAT (Registres des Activités de Traitement).

L'importance de la sécurité pour la vie privée

Les années 2018 et 2019 ont été marquées par plusieurs phases de mise en oeuvre formelle du RGPD. Car en effet, le régime précédent ayant pour principe l'autorisation préalable avait cédé sa place à un régime de contrôle à posteriori. Depuis lors, il est possible de collecter et traiter (hors cas particuliers) des DCP sans autorisation préalable. Mais il faut se préparer à subir à tout moment un contrôle de la CNIL quant aux traitements de données personnelles. C'est pourquoi tout ce processus formel de nominations, mentions, opt-in et documentation (le fameux RAT, ou encore des AIPD – Analyses d'Impact de la Protection des Données) est si important : il ne faut pas juste faire les choses correctement, il faut pouvoir le prouver.

Toutefois, cela s'est peut-être fait, au moins dans un premier temps, au détriment d'une partie extrêmement importante de la protection des données personnelles : leur sécurité. L'aspect formel de la mise en conformité au RGPD semblait tellement tentaculaire et faramineux que nous en avons parfois oublié l'importance de la sécurité effective des DCP. Et pourtant, c'est bien souvent sur ce critère que la CNIL prononce des sanctions : les manquements sanctionnés par l'autorité administrative indépendante sont souvent constitués par un défaut de sécurisation suffisante des données à caractère personnel traitées par le responsable en cause, plus que par un manque de documentation.

Début 2020, nous avons vu émerger une prise de conscience collective du besoin urgent de sécurisation des DCP traitées. Il faut maintenant s'atteler à la tâche... Mais par où commencer ? Les systèmes d'informations n'ont souvent pas été conçus à l'origine avec la protection des données personnelles comme priorité. Cette sécurité "by design" n'étant l'apanage que des nouvelles solutions ou infrastructures, comment démêler l'ensemble des équipements, du réseau, d'un site public ?

S'assurer de sa conformité au RGPD

La nouvelle donne de la protection de la vie privée s'est installée dans nos paysages institutionnels et normatifs de façon progressive. Il y a d'abord eu l'adoption du RGPD en 2016, la fameuse date de son entrée en vigueur, le 25 mai 2018. Puis les diverses publications et délibérations de la CNIL, la nouvelle LIL... La première conséquence de tout cela a été un climat de désorganisation certain, y compris pour ceux qui avaient mis en oeuvre un plan d'action en amont de 2018. La mise en conformité de nos organismes publics comme privés s'est déroulée (et se déroule toujours) de façon parcellaire et au fur et à mesure que nous disposons de réformes et de nouvelles informations sur leur interprétation.

C'est pourquoi aujourd'hui, il est fréquent de se retrouver avec un état de mise en conformité non ou peu maîtrisé, ou en tout cas moins maîtrisé que ce que nous avions prévu ou souhaité. Or, de nombreux scenarii demandent à ce que l'on maîtrise cette conformité afin de tourner en notre faveur : contrôle de la CNIL, incident technique, acte malveillant, demande d'exercice de droits des personnes concernées (salariés, clients, fournisseurs)... La connaissance et la maîtrise du niveau de conformité au RGPD sont essentiels pour espérer de ces événements une issue positive. Pour retrouver ce niveau d'information et de contrôle sur sa propre conformité, une étape permet de (re)lancer la machine : l'audit RGPD.

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.