- Le blog et les actualités de Witik
- Audit RGPD : la méthodologie parfaite
Audit RGPD : la méthodologie parfaite
Envisager le RGPD sans audit, c’est un peu comme nommer un DPO sans lui donner les moyens d’agir. Sur le papier, ça semble une mauvaise idée, et dans la réalité, c’est bel et bien une mauvaise idée
Un audit RGPD permet d’évaluer la conformité de son organisme, d’un traitement, ou même d’un sous-traitant… Ses livrables se composent d’un questionnaire rempli et d’un plan d’action fixant les prochaines étapes à court, moyen et long terme pour se mettre en conformité.
Mais obtenir un questionnaire correctement rempli, et en déduire les actions de remédiation correspondantes n’est pas une chose aisée. La difficulté est d’autant plus grande lorsqu’on ne possède pas de méthodologie adaptée.
Pas de panique, Witik vous donne quelques astuces !
Ne pas confondre audit de maturité et audit de conformité
« Bien choisir son angle d'attaque. »
Dans un audit de maturité, le but n’est pas d’analyser en profondeur la conformité d’un traitement ou d’un organisme. Il s’agit ici d’évaluer les procédures internes impactant la gestion des données personnelles, la documentation disponible ou encore les moyens financiers, humains et organisationnels alloués par la direction pour la mise en conformité avec la réglementation.
Il s’agit avant tout d’un audit permettant d’évaluer la gouvernance autour de la mise en conformité RGPD, plutôt que d’évaluer la conformité du traitement ou de l’organisme en tant que tel. Il est généralement effectué à la prise de fonction d’un DPO, ou lors du lancement/reprise d’un projet de conformité.
A l’inverse, un audit de conformité consiste à évaluer si un élément donné (traitement, organisme, application…) est conforme par rapport à des points de contrôle faisant directement le lien à des critères et principes issus de la réglementation. Cela s'effectue régulièrement et dans la durée.
Ces deux audits ont donc des approches et des objectifs différents qu’il est nécessaire de bien comprendre avant de se lancer. Et au sein même des audits de conformité, il existe de grandes différences entre un audit de traitement, un audit d’organisme ou un audit de sous-traitant.
Witik est doté d’une bibliothèque de modèles d’audits, proposant différentes approches et méthodologies. Peu importe votre projet ou votre niveau de maturité, vous trouverez le modèle qu’il vous faut, peu importe l’élément que vous souhaitez auditer !
Adaptez votre audit à vos interlocuteurs
« Privilégier la qualité à la quantité. Cela vaut aussi pour un audit. »
Le meilleur des audits RGPD n’est pas nécessairement le plus long ou le plus complexe. Il doit surtout être adapté à ses destinataires : le vocabulaire (jargon) du destinataire, son niveau de connaissance RGPD mais aussi la sensibilité des données traitées sont tout autant de critères à prendre en compte dans la construction de votre questionnaire.
Un questionnaire non adapté sera laissé sans réponse, ou sa complétion sera lente et douloureuse aussi bien pour le DPO que pour l’interlocuteur, et les réponses saisies en seront tout aussi impactées.
Ainsi, un audit de 50 questions dénué d’exemple concret et destiné à un service Marketing qui n’a pas encore été sensibilisé correctement au RGPD aura peu de chance d’être complété sérieusement et/ou dans sa globalité.
A l’inverse, un questionnaire simplifié d’une dizaine de points de contrôles « standards » pour auditer un traitement complexe impliquant de nombreux destinataires et flux de données ne sera pas adapté et se contentera d’analyser le projet en surface.
Witik propose un module dédié permettant non seulement de déployer des questionnaires prêts à l’emploi, mais aussi de créer vos propres audits sur la base d’un de nos modèles ou en partant de 0. Définissez les points de contrôle, les réponses possibles, les textes d’aide, la pondération… Vous avez le choix !
Complétez votre audit en équipe
« Tout seul on va vite, mais ensemble on va plus loin. »
Une fois déployé auprès de vos interlocuteurs, l’audit sera complété à la lumière de leurs connaissances du RGPD mais aussi de leur compréhension des points de contrôle. Une question est toujours susceptible d’être interprétée de manière différente, et le degré de précision ou d’exhaustivité de la réponse est souvent un problème récurrent dans la complétion d’un audit.
Afin d’éviter toute confusion, il est recommandé de compléter le questionnaire avec l’ensemble des parties prenantes. Le DPO (ou la personne à l’origine de l’audit) doit être disponible pour accompagner les équipes dans la complétion de l’audit : en présentiel pendant une séance dédiée, ou en asynchrone sur un canal dédié permettant de répondre à l’écrit aux interrogations.
Le module de collaboration de Witik centralise des discussions au niveau de chaque point de contrôle d’un audit, permettant ainsi au DPO et aux équipes d’échanger sur des aspects précis du questionnaire. Mentionner le nom de l’utilisateur avec qui vous souhaitez échanger, une notification lui sera envoyée automatiquement et le redirigera directement vers le message concerné.
Pas d’audit sans livrable
« Identifier ce qui n’est pas conforme, c’est bien. Identifier ce qu’il faut faire pour être conforme, c’est mieux. »
La complétion du questionnaire ne doit pas stopper la démarche. En effet, peu importe les résultats obtenus, l’audit met en exergue les forces et faiblesses de l’objet audité. Les non-conformités sont bel et bien identifiées, mais il est encore nécessaire de les transformer en actions de remédiation afin de faire progresser la conformité.
Dès lors, il est recommandé d’associer à chaque point de contrôle où une non-conformité a été identifiée une ou plusieurs actions détaillant le reste à faire. Encore mieux, chaque action est découpée en tâches opérationnelles (micro-action) et est classée selon une priorisation. Chaque action peut être rattachée à un ou plusieurs responsables, ce qui permet de suivre leur complétion.
Witik propose des audits intelligents qui, sur la base des réponses saisies, génère automatiquement un plan d’action opérationnel. Déployez vos questionnaires sans paramétrage préalable et attribuez-les à un ou plusieurs utilisateurs. Fini les audits sans livrable, et place aux autoévaluations rapides et autonomes avec un plan d’action à la clef.
Pour conclure, l'audit RGPD est un outil indispensable pour évaluer la conformité d'une organisation au RGPD. Il est important de bien comprendre les différences entre un audit de maturité et un audit de conformité, et de s'assurer que le questionnaire utilisé est adapté aux destinataires. Il est également recommandé de compléter l'audit en équipe et de générer un plan d'action à partir des résultats.