AUDITER LES TRAITEMENTS DE DONNÉES

La validation de la conformité au RGPD peut nécessiter de réaliser un véritable audit des traitements, en compléments des analyses habituelles et du pilotage au travers du registres des activités.

POSER LES BASE CRÉDIBLES D'UN AUDIT RÉPONDANT À DES CRITÈRES DE QUALITÉ

La réalisation d'un audit des traitement s'inscrit dans un ensemble de bonnes pratiques 

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de réaliser un audit des traitements dans la continuité de la norme industrielle NF ISO 19011 en l'adaptant au contexte spécifique des audits liés à la protection des données à caractère personnel.

Un tel audit s'articule autour de deux axes structurants d'évaluation qui constituent les référentiels :

  • Méthode des audits de conformité de traitements

  • Contenu des audits de conformité de traitements


Dans leur globalité, ces deux axes structurants se déclinent autour d'une série d'exigences complémentaires :

  1. Principes à respecter

  2. Points relatifs à l'ensemble des auditeurs et aux responsable d'équipes d'audit

  3. Aspects propres respectivement aux auditeurs « juridiques » et « techniques »

  4. Préparation, réalisation et finalisation des audits

  5. Bases de connaissance utilisées et points concernant l'organisme audité

  6. Aspects liés à l'identification des traitements et à l'appréciation de leur licité

  7. Points liés à l'analyse des durées de conservation et à l'étude de la sécurité 

  8. Aspects liés au respect des droits des personnes et à l'étude des traitements particuliers 

LES POINTS A RETENIR :

Le responsable de traitement et le sous-traitant doivent se doter d'une procédure d'audit qui se situera au centre de la qualité de la démarche en décrivant précisément la manière dont la procédure d’audit répond aux exigences de manière spécifique, en consignant des explications et des éléments probatoires,

  • référentiel interne d’audit

  • exemples de questionnaires ou de scénarios d’entretiens utilisés

  • descriptif d’une méthode ou d’une procédure

  • descriptif de logiciel d’aide à la décision ou de tout autre système expert informatisé utilisé le cas échéant

  • illustration des contrôles informatiques ou organisationnel

  • tout autre élément documenté à disposition des auditeurs appliquant la procédure d’audit

Une telle démarche probatoire permettra d'étayer le dispositif de vérification de l'accountability en assurant la confiance dans la validation des environnements de traitements.

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris