Le RGPD est l’abréviation de Règlement Général pour la Protection des Données. Ce règlement a été instauré en mai 2018 afin que les différents pays de l’Union européenne adoptent une politique commune. Désormais, les entreprises qui traitent des données à caractère personnel sont tenues de respecter ce règlement. Ceci nous amène à nous demander si l’audit RGPD est obligatoire pour garantir une certaine conformité.
Qu’est-ce qu’une donnée à caractère personnel ?
L’article 4 du RGPD indique qu’une donnée à caractère personnel constitue toutes les informations liées à une personne identifiée ou identifiable. Cette identification peut résulter d’un identifiant, d’un nom, d’une localisation, de caractères physiologiques et génétiques… L’identification d’une personne physique peut-être directe (grâce au nom et au prénom) ou indirecte (par le biais d’informations propres à la personne : plaque d’immatriculation, numéro de Sécurité sociale…).
RGPD : un règlement très strict
Comme nous l’avons précédemment développé au sein d’un article, le RGPD édicte des règles assez strictes, poussant certaines entreprises à réaliser un audit RGPD pour être certaines de bien les respecter. Le RGPD oblige notamment à :
- nominer un délégué à la protection des données. Celui-ci est chargé de veiller au respect du RGPD, d’informer et de conseiller le responsable de traitements de données et de coopérer avec l’autorité de contrôle.
- mettre en place un registre des activités de traitement. Ce registre détaille l’ensemble des traitements réalisés (le type de données traitées, la finalité du traitement, les parties concernées, la date et la durée de conservation des données).
- analyser l’impact en amont d’un traitement de données qui peut s’avérer risqué.
Notons que le registre des activités de traitement est assoupli pour les entreprises qui comptent moins de 250 salariés. Seuls les traitements non occasionnels, les traitements qui peuvent potentiellement engendrer un risque pour le droit et les libertés des personnes mais aussi les traitements sur des données sensibles (données à caractère religieux, appartenance à un syndicat, orientation sexuelle…) doivent figurer au sein du registre.
La commission nationale de l’informatique et des libertés (CNIL) est l’autorité administrative indépendante qui se charge de veiller à la bonne application de ce règlement. Les sanctions en cas de non respect de ce règlement peuvent aller jusqu’à 20 millions d’euros voire 4% du chiffre d’affaires au niveau mondial s’il s’agit d’une entreprise.
Un audit RGPD recommandé
L’audit de conformité au RGPD n’est pas obligatoire, mais compte tenu des nombreuses règles à connaître et des lourdes sanctions qui peuvent s’appliquer en cas de non respect, celui-ci est recommandé. Par ailleurs, en cas de contrôle vous devez être en mesure de démontrer votre conformité au RGPD. Cet audit va donc permettre de vous rassurer et de savoir si vous êtes ou non en conformité avec le RGPD. À défaut, des solutions vous seront proposées. D’autre part, vous disposerez d’une documentation nécessaire pour justifier de votre conformité en cas de contrôle.
Comment se déroule cet audit RGPD ?
La procédure d’audit se base autour des 6 points clés qui garantissent la conformité au règlement :
- Identifier les traitements de données;
- Analyser la licéité des traitements (consentement des personnes, données recueillies dans le but de satisfaire un contrat…);
- Vérifier la bonne inscription de ces données dans un registre;
- Respecter la durée de conservation en adéquation avec les finalités recherchées;
- Garantir les droits liés à ces données (droit à l’oubli, à l’effacement);
- Identifier les risques qui découlent de ces données;
- Identifier les mesures prises pour sécuriser la sauvegarde des données;
- Vérifier que la désignation d’une personne en charge de la protection des données a été faite;
- Fournir une documentation pour justifier sa conformité au RGPD.
Combien coûte cet audit RGPD ?
L’audit RGPD est souvent réalisé par des avocats et pour obtenir une bonne vision d’ensemble de l’entreprise, plusieurs heures de travail sont nécessaires. C’est pour ces raisons que le coût d’un tel audit peut varier entre 1000 € et 5000 € suivant le type de structure.