AUDITER LES TRAITEMENTS DE DONNÉES

La validation de la conformité au RGPD peut nécessiter de réaliser un véritable audit des traitements, en compléments des analyses habituelles et du pilotage au travers du registres des activités.

POSER LES BASE CRÉDIBLES D'UN AUDIT RÉPONDANT À DES CRITÈRES DE QUALITÉ

Besoin d'aide 

La réalisation d'un audit des traitement s'inscrit dans un ensemble de bonnes pratiques 

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de réaliser un audit des traitements dans la continuité de la norme industrielle NF ISO 19011 en l'adaptant au contexte spécifique des audits liés à la protection des données à caractère personnel. La réalisation d'audit constitue un enjeu complexe dans un contexte d'externalisation grandissante des systèmes d'information dans le cloud ainsi que fasse l'achat de systèmes clés en main.

Un tel audit s'articule autour de deux axes structurants d'évaluation qui constituent les référentiels :

  • Méthode des audits de conformité de traitements

  • Contenu des audits de conformité de traitements

 

Dans leur globalité, ces deux axes structurants se déclinent autour d'une série d'exigences complémentaires qui sont des prérequis dans le cadre d'une programme de conformité :

  1. Principes à respecter

  2. Points relatifs à l'ensemble des auditeurs et aux responsable d'équipes d'audit

  3. Aspects propres respectivement aux auditeurs « juridiques » et « techniques »

  4. Préparation, réalisation et finalisation des audits

  5. Bases de connaissance utilisées et points concernant l'organisme audité

  6. Aspects liés à l'identification des traitements et à l'appréciation de leur licité

  7. Points liés à l'analyse des durées de conservation et à l'étude de la sécurité 

  8. Aspects liés au respect des droits des personnes et à l'étude des traitements particuliers 

La réalisation d'un veille réglementaire et opérationnelle sera particulièrement importantes afin d'intégrer dans les audits des référentiels pluridisciplinaires permettant notamment de comprendre les points d'impact des nouvelles technologies telles que l'intelligence articficielle et les algorithmes, ainsi que les enjeux de plus en plus complexes de la sécurité informatique. Le chef d'orchestre de la conformité au RGPD, le délégué à la protection des données, contribuera à la pertinence de la démarche d'audit dans le cadre de sa fonction à laquelle sont attachées un certain nombre de missions essentielles dans la structuration de la conformité.

LES POINTS A RETENIR :

Le responsable de traitement et le sous-traitant doivent se doter d'une procédure d'audit qui contribue à structurer la conformité autour de points de contrôle. Ce dernier se situera au centre de la qualité de la démarche en décrivant précisément la manière dont la procédure d’audit répond aux exigences de manière spécifique, en consignant des explications et des éléments probatoires,

  • référentiel interne d’audit

  • exemples de questionnaires ou de scénarios d’entretiens utilisés

  • descriptif d’une méthode ou d’une procédure

  • descriptif de logiciel d’aide à la décision ou de tout autre système expert informatisé utilisé le cas échéant

  • illustration des contrôles informatiques ou organisationnel

  • tout autre élément documenté à disposition des auditeurs appliquant la procédure d’audit

Une telle démarche probatoire permettra d'étayer le dispositif de vérification de l'accountability en assurant la confiance dans la validation des environnements de traitements.

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris