- Le blog et les actualités de Witik
- Pourquoi et comment mener un audit de conformité ?
Pourquoi et comment mener un audit de conformité ?
L’audit de conformité peut intervenir à deux moments de la vie de votre entreprise. D’abord, il permet d’anticiper un chantier de mise en conformité. C’est même un passage obligé : bien comprendre l’état de l’existant permet de fixer des objectifs, de décider de plans d’actions cohérents et de mettre en place les mesures correctives nécessaires.
Mais au-delà, il est essentiel de conserver la logique de l’audit de conformité en continu, dans une optique de veille et/ou pour respecter vos obligations de vigilance. Les mêmes méthodes que nous allons voir peuvent être maintenues tout au long de la vie de votre entreprise, pour vous assurer du maintien d’un bon niveau de conformité.
Dans ce contexte : que veut dire au juste mener un audit de conformité ? Quels aspects de la réglementation sont-ils concernés ? Comment le réaliser dans la pratique ? Ce sont ces questions que l’on va traiter dans cet article.
Sur quoi porte l’audit de conformité ?
Le terme de diagnostic de conformité ne renvoie évidemment pas à une réglementation précise. Autrement dit, vous pouvez conduire une opération de diagnostic en fonction de différents textes.
Notamment, l’audit de conformité intervient pour préparer votre mise en conformité au RGPD. Pour rappel, le texte européen vous concerne si vous traitez des données de résidents européens. Or la notion de données personnelles est très large : dès lors que vous conservez par exemple les coordonnées de vos clients, vous entrez dans le champ d’application du RGPD !
Un audit permet alors de mesurer les écarts potentiels entre les pratiques effectives de votre entreprise et les exigences de la réglementation.
Un autre volet concerne les règles d’éthique en entreprise, notamment les nouvelles obligations nées de la loi dite Sapin II. Celle-ci impose en effet la mise en place de mesures spécifiques.D’abord, les entreprises ont pour obligation de lutter contre les risques d’atteintes aux droits des personnes et notamment des droits fondamentaux liés aux conditions de travail.Ensuite, des mesures doivent être prises pour protéger les lanceurs d’alerte en entreprise et leur permettre d’exercer leur droit d’alerte dans les conditions prévues par la loi.
Là encore, l’audit vise à prendre une photographie de l’existant, mesurer les risques et décider d’un plan d’action adapté à votre situation.
Audit RGPD : comment mener votre diagnostic RGPD ?
Intéressons-nous plus précisément à l’audit de conformité au RGPD. Pour le mener à bien, il faudra mener l’enquête et réunir un certain nombre d’informations sur les points critiques de votre organisation et de vos process. Concrètement, il s’agit de passer en revue les grands aspects de la réglementation pour évaluer comment votre organisation se positionne au regard de chacun d’entre eux.
Voici les grands axes de votre audit RGPD :
Cartographie des données personnelles et de leurs traitements :
Quelles types de données personnelles êtes-vous amené à collecter et à traiter ? Auprès de quelle typologie de personnes ? (clients, salariés, partenaires ; personnes physiques ou personnes morales ?)…
Une fois les données collectées, quelles sont les opérations de traitement qui sont appliquées à ces données ? Où sont-elles stockées ? Qui les manipule ? Pourquoi faire ?
Information :
Quelles sont les informations que vous donnez aux personnes concernées dont vous utilisez les données personnelles ? La réglementation impose que l’information apportée soit claire et facilement accessible. Par exemple, disposez-vous d’une page de politique de confidentialité ? Et si oui, comment celle-ci est-elle rédigée ?
Consentement des personnes concernées :
Le consentement des personnes est un des fondements qui permet à une entreprise de collecter et de traiter la donnée personnelle. Comment collectez-vous le consentement de vos utilisateurs ? Vos bandeaux cookies, par exemple, sont-ils conformes à la réglementation ?
Protection des données :
Une fois les données collectées, encore faut-il les conserver et surtout les protéger. Votre audit de conformité doit aussi s’intéresser aux différentes mesures ayant trait à la cybersécurité dans votre entreprise.
Il s’agit d’une part de protéger les données contre les fuites ou contre les vols de données : en améliorant les outils de défense comme les firewalls de votre système SI et en chiffrant les données pour éviter qu’elles soient lisibles en cas d’incident.
D’autre part, cet aspect comprend aussi les mesures de sensibilisation et de formation auprès de vos équipes, en particulier contre les tentatives de phishing.
Conservation des données :
Votre base de données est-elle saine et à jour ? Autrement dit, respectez-vous la réglementation en matière de durées de conservation des données ? Ces durées sont limitées dans le temps en fonction de la nature des données concernées et des finalités de sa collecte et de sa conservation.
Exercice des droits :
Le RGPD impose aux entreprises de faciliter l’exercice des droits des personnes liées à leurs données. Il s’agit par exemple du droit d’opposition, du droit d’effacement, du droit à la portabilité…
Avez-vous mis en place un processus digitalisé facilement accessible pour permettre à vos utilisateurs d’exercer leurs droits ? Quelle est l’organisation de vos process pour traiter rapidement et efficacement ces demandes ?
Documentation juridique :
Le contrôle du respect du RGPD par la CNIL passe notamment par un contrôle de votre documentation juridique. Registre des traitements, analyses d’impact, registre des sous-traitants…
Plusieurs documents RGPD sont à construire et à tenir à jour pour pouvoir les présenter à la CNIL en cas de contrôle et justifier du bon respect de la réglementation par votre organisation.