Audit RGPD: liste de contrôle

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’appliquera pleinement. Les premières étapes vers la longue marche vers la mise en conformité se résument à comprendre les nouvelles obligations imposées par la nouvelle réglementation et identifier les lacunes du système protection des données déjà utilisé. Pour trouver toutes ses informations, il va falloir réaliser un audit RGPD. Retrouvez ici, les détails sur les principaux points à contrôler durant un audit RGPD.

Les données personnelles

Il s’agira ici de faire la cartographie complète des traitements de données réalisés par l’entreprise : identifier leur provenance, leur destination, leur nature (données personnelles sensibles ou non), leur propriétaire (mineur, malade, condamné, employé, fonctionnaire…), leur catégorie, et leur destination (surtout en cas de transferts hors du territoire de l’UE). Cette première action permettra déjà de trouver quelques écarts entre les nouvelles normes et les processus de traitements des données de l’entreprise.

La base légale des traitements

L’identification de la base légale des traitements fait généralement partie de la cartographie des traitements. Mais en raison de son importance, l’analyse de la légalité fera l’objet d’une attention plus importante. Le contrôle se fera en répondant à plusieurs questions: existe-t-il un motif légal pour chaque traitement? Y a-t-il un motif légal pour les traitements portant sur les données personnelles sensibles? En ce qui concerne le consentement: le consentement a-t-il été bien recueilli de manière claire ? Comment démontrer le consentement? Les sujets peuvent-ils retirer facilement leur consentement?

La transparence

Une des principales nouveautés apportées par la Loi RGPD 2018 est l’obligation pour les entreprises d’informer les internautes sur l’utilisation de leurs données. C’est-à-dire, l’usage que les entreprises en feront. Le contrôle de la transparence consistera à répondre aux questions suivantes: les personnes sont-elles informées du traitement? Les données sont-elles prélevées directement auprès des sujets? Les sujets savent-ils comment sont prélevées leurs données?

Les principaux principes de protection des données et responsabilité

Outre les précédents points, un audit RGPD portera également sur l’analyse du respect des principaux principes de protection des données et responsabilité:

  • Finalité des traitements: la finalité première des traitements est-elle bien respectée?
  • Minimisation des données: les données personnelles sont-elles limitées au minimum nécessaire?
  • Vérification: des mesures sont-elles mises en place pour garantir l’intégrité des données? Quid des délais de rectification quand les données sont inexactes?
  • Limitation de stockage: existe-t-il des procédures pour l’archivage et la destruction des données? Quid de la performance de la politique de confidentialité?
  • Intégrité et confidentialité: existe-t-il des mesures de sécurité efficaces pour protéger les données?
  • Responsabilité: est-il possible de démontrer le respect des principes de protection des données?

Le respect des droits des personnes

À la fin, le RGPD a surtout été conçu pour permettre aux personnes de demander l’application et la protection de leurs droits. L’audit RGPD permettra alors de répondre aux diverses questions liées aux droits des personnes: accès aux données personnelles, demande de remboursement, portabilité des données, effacement et rectification des données, opposition…

 

This entry was posted in Informations pratiques. Bookmark the permalink.