L’objectif général d’un audit en matière de RGPD est de faire un état des lieux, d’identifier les écarts avec la réglementation et d’organiser un plan d’actions.

C’est un outil essentiel pour s’assurer de l’effectivité des mesures décidées par le responsable de traitement. L’audit est réalisé auprès des personnes qui prennent part directement au traitement des données. Il permet alors de faire le point sur l’application des procédures définies au préalable au sein de l’organisation. Réaliser un audit permet aussi de répondre au principe d’accountability. Ce principe oblige le responsable du traitement à conserver des preuves concrètes de la démarche de conformité.

Pour appréhender les audits relatifs à la conformité au RGPD, il faut considérer trois grandes familles d’audits.

• La première famille regroupe les audits organisationnels. Ce sont les audits qui concernent la gestion des données personnelles par votre structure.
• Il existe également des audits techniques, s’agissant notamment de la sécurité physique et logique de votre organisation.
• Enfin des audits plus juridiques vous permettent de recenser et d’examiner toute la documentation requise pour être conforme. (contrats, chartes, politique de confidentialité, etc.)

Il ne faut pas oublier de réaliser un audit de votre site internet. Car celui-ci constitue la vitrine virtuelle de votre organisation et donc de votre conformité au RGPD. La conformité du site internet est un point essentiel à votre démarche de conformité. Celui-ci peut être consulté aisément par la CNIL, ce qui par la suite peut déclencher un contrôle. Les utilisateurs des sites internet sont également de plus en plus sensibles à la protection de leurs données en ligne. Il faut donc être vigilant, un audit du site internet peut révéler des failles de conformité qui doivent être corrigées.

En 2021, la CNIL a procédé à une campagne de sensibilisation sur l’audit des sites internet et des applications mobiles auprès des organisations. Celle-ci était concentrée sur la mise en application de ses recommandations en matière de cookies. L’audit se révèle être nécessaire pour comparer d’une part ce qui existe et ce qui est appliqué dans les faits à d’autre part ce qui est recommandé et doit être mis en œuvre.

Par ailleurs la mise en œuvre d’audit est également nécessaire dans les relations “responsable de traitement / sous-traitants » ,dans la mesure où ces derniers participent à un traitement de données sur instructions et à la demande du responsable de traitement . Si le contrat de sous-traitance n’est pas encore conclu, il faut envisager d’inclure une clause prévoyant un audit préalable pour évaluer le niveau de protection des données que confère le sous-traitant. Le contrat peut également prévoir des audits réguliers pour suivre l’évolution et la bonne application des mesures de protection par le sous-traitant. Si le contrat est déjà concluil n’est pas trop tard pour réaliser un audit.

Dans le cas où l’audit révèle que le sous-traitant n’est pas conforme, il faut négocier un avenant relatif à la protection des données personnelles et/ou en fonction des écarts constatés, considérer les clauses résolutoires présentent dans le contrat initial. Le responsable du traitement doit s’assurer que tout au long de la durée de traitement des données, celles-ci sont protégées. Même le traitement réalisé par un sous-traitant doit faire l’objet d’une protection accrue. Le responsable du traitement doit faire preuve de vigilance sur ce point car sa responsabilité reste en jeu, bien que tout ou une partie du traitement soit délégué. Il est donc préférable pour le responsable du traitement de réaliser un audit, car il reste responsable de la sécurité des données.

La réponse au sondage « Les audits sont-ils obligatoires d’après les articles du RGPD ? »

À l’occasion d’un sondage réalisé le 5 janvier dernier sur notre page LinkedIn, nous vous avons demandé si les audits sont obligatoires d’après les articles du RGPD.

Vous avez été fort ! Sur 183 votants, 41 % d’entre vous ont voté « Oui et non, c’est indispensable ».

En effet, aucun article du RGPD ne prévoit concrètement l’obligation de réaliser des audits pour garantir sa conformité. Toutefois l’audit reste une étape obligatoire pour s’assurer de sa conformité. C’est aussi un outil indispensable pour suivre et mettre à jour la conformité de votre organisation dans le temps en réalisant des audits réguliers, une fois par an par exemple.

Auditez simplement votre entreprise avec Mission RGPD

Vous ne savez pas comment réaliser votre audit ? Vous manquez de temps ? C’est une pratique trop complexe pour vous ?

Avec Mission RGPD vous réalisez vos audits en toute simplicité ! Répondez à nos modèles d’audits, et le logiciel vous recommande un plan d’actions adaptés à vos réponses. Vous pouvez aussi créer votre propre audit ! Dans tous les cas, faites participer directement dans la plateforme vos collaborateurs mais aussi vos prestataires et sous-traitants. Mission RGPD est un logiciel pratique et collaboratif qui vous guide dans votre démarche de mise en conformité.

Ne perdez plus de temps, c’est si simple !