Qu’est-ce qu’un audit de sécurité RGPD ?
La directive européenne RGPD concerne le traitement des données personnelles par les entreprises ou organisations. L’objectif est d’assurer une protection des informations personnelles des citoyens européens. Avant cette directive, les entreprises devaient remplir des formalités préalables auprès de la CNIL.
Ces formalités n’existent plus, en revanche, les entreprises doivent être en mesure de fournir les documents nécessaires pour prouver leur conformité à la loi, et ce, tout au long de la vie des données à caractère personnel.
L’article 32 de la directive européenne précise les règles de sécurité informatique à mettre en place. Le responsable de traitement doit alors veiller à implémenter toutes les mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque.
L’audit de sécurité garantit la bonne application de ces mesures en conformité avec la loi RGPD.
Pourquoi réaliser un audit de sécurité ?
La directive européenne RGPD concerne toutes les entreprises et organisations proposant des produits ou services à des personnes résidant dans l'Union Européenne, et ce, quelle que soit leur taille, leur structure ou leur localisation.
Certaines différences s’appliquent selon la taille des entreprises. En effet, les sociétés de moins de 250 salariés bénéficient d’obligations légales allégées.
L’audit RGPD permet aux entreprises de s’assurer de leur conformité auprès de la loi. Il est indispensable, d’autant que les sanctions en cas de non-respect peuvent être très lourdes.
En cas de non-conformité aux règles de protection des données, les entreprises peuvent voir le traitement des données de leurs clients, prospects ou partenaires limités voir suspendus.
En plus de cette pénalisation, une amende de 2 à 4 % du chiffre d’affaires peut être appliquée.
L’audit de conformité permet donc d’éviter ces sanctions mais aussi d’améliorer la fiabilité et la sécurité du système d’information de votre structure. En effet, l’audit RGPD inclut un audit de sécurité SI.
Qui réalise l’audit ?
L’audit de sécurité RGPD est réalisé par le Data Protection Officer (DPO). C’est le garant de la sécurité des données de votre entreprise. Le DPO doit être indépendant dans la hiérarchie et qualifié. L’objectif est d’éviter tout conflit d’intérêt avec les autres structures de la société. La CNIL prohibe d’ailleurs de confier ce rôle au PDG, DG ou DRH de l’entreprise.
Pour garantir l’indépendance du Data Protection Officer, il est préférable de recourir à un DPO externe. Il sert d’intermédiaire entre votre entreprise et l’autorité de contrôle (CNIL). Il va informer et sensibiliser les employés sur la réglementation RGPD et présentera des rapports d’analyse sur l’évaluation des risques.
Le DPO doit être en mesure d'interagir avec tous les salariés, quel que soit leur niveau dans la hiérarchie. Cela lui permet d’analyser, d’enquêter, de vérifier et de contrôler les processus propres à votre structure.
En plus de son indépendance, l’avantage de recourir à un DPO externe est sa spécialisation, sa disponibilité et son oeil extérieur.
En faisant appel à RGPD Consulting pour votre audit de sécurité vous bénéficiez de l'expertise de Data Protection Officer certifiés par le bureau Veritas.
Comment est réalisé l’audit sécurité RGPD ?
Des mesures techniques
Pour s’assurer de la conformité de votre entreprise avec la directive européenne, RGPD Consulting réalisera un questionnaire à remplir par le responsable du service informatique et procédera à une interview de ce dernier. L’objectif est de vérifier votre conformité à toutes les règles de cybersécurité.
En plus de cette interview, RGPD Consulting vérifie toute la documentation présente dans votre structure.
Cette documentation doit être adaptée à la taille de votre société, son activité et les risques potentiels. Tous les traitements de données à caractère personnel sont analysés (ce peut être des fichiers clients, des contrats,...), quel que soit leur support (disques durs, ordinateurs portables, systèmes d’exploitation, canaux de communication, documents imprimés, etc).
Pour les entreprises de plus de 250 salariés, le Data Protection Officer recense toutes les informations au sein d’un registre des traitements.
Des mesures organisationnelles
Outre les mesures techniques, l’entreprise doit mettre en place des mesures organisationnelles pour garantir la sécurité de ses données.
RGPD Consulting va alors s’assurer que les bonnes pratiques sont bien appliquées. Nous allons ainsi vérifier que vos salariés sont bien formés aux règles RGPD, que ce soit pour la durée de conservation des données, l’existence de profilage, les voies de recours possibles...
De même, nous nous assurons que votre structure soit prête à faire face à une erreur ou un acte malveillant.
Le rapport d’analyse
Une fois ces mesures vérifiées, RGPD Consulting vous fournira un rapport d'analyse au format PDF.
Ce rapport vous présente une analyse des risques pour chaque traitement de données.
Cette appréciation des risques s’effectue de la manière suivante :
- Identification des impacts potentiels en cas d’accès illégitime à vos données, une modification non voulue des données ou une disparition
- Identification des sources de risques, qu’elles soient humaines, non-humaines, externes, internes, volontaires ou involontaires
- Identifications des menaces
- Les mesures existantes ou prévues
Pour une meilleure conformité de votre structure avec les règles RGPD et pour la réalisation d'un audit de sécurité, faites appel à RGPD Consulting !