Audit RGPD : quelles obligations ?

En vue de la protection des personnes physiques vis-à-vis des données à caractère personnel, le Parlement européen a adopté le 14 avril 2014 le Règlement Général de Protection des Données (RGPD). Entré en vigueur le 25 mai 2018, ce dispositif vient réformer les procédures de réalisation des audits dans les entreprises et s’applique à chaque fois qu’un résident européen est visé par un traitement de données, y compris par internet. Plusieurs obligations sont alors à prendre en compte pour sa mise en application.

Quelles sont les obligations de la RGPD ?

La RGPD est une directive encadrant le traitement des données à caractère personnel des citoyens européens par les entreprises et les organismes. À ce titre, il s’applique à tous les types de structures et les invite à une meilleure protection des informations confidentielles des personnes. Plus spécifiquement, le règlement exige des entreprises :

  • La nomination d’un délégué à la protection des données ou DPO,
  • Le transfert des formalités CNIL au responsable du traitement,
  • Des études d’impact sur la vie privée,
  • Des principes de protection des données dès la conception,
  • Une notification en cas de fuite de données,
  • Des sanctions plus importantes.

Comment se déroule un audit RGPD ?

La décision de mettre en place un audit RGPD vise à vérifier dans quelle mesure cette directive est respectée par l’entreprise. L’audit se base sur deux aspects. Le premier concerne le fonctionnement du système d’information et le traitement des données personnelles au sein de l’entreprise tandis que le deuxième est relatif à la documentation mise en place par l’entreprise y compris la sécurité et la fiabilité du système d’information.

L’audit informatique et liberté

À ce niveau l’audit RGPD permet tout d’abord d’avoir une vue d’ensemble des données qui circulent au sein de l’entreprise. Cette opération de grande envergure se base sur tous les services de la structure et dure au moins 5 à 10 jours selon sa taille. Ainsi, l’entreprise choisit un collaborateur pour la protection des données dont le rôle est de procéder à l’inventaire voire même de réaliser une cartographie sur le traitement des données de l’entreprise.

Deuxièmement, le stockage des données est également évalué. Ici, la politique de confidentialité de l’entreprise est décortiquée et vérifiée afin d’en déduire les probables failles de sécurité ou des points divergents avec le dispositif de la RGPD.

L’audit juridique

Comme son nom l’indique, l’audit juridique vise à contrôler la conformité de la documentation de l’entreprise vis-à-vis du règlement général sur la protection des données. Cette partie porte sur l’étude de la certification de mention informatique, mais aussi sur la liberté des principaux contrats de l’entreprise et ses conditions générales de vente. Une fois l’étude réalisée, l’auditeur vérifie également la légalité des mentions obligatoires à faire figurer sur les formulaires de contact et des clauses contractuelles.

Les risques en cas de non-respect des obligations de la RGPD

En cas de non-respect de la RGPD, l’entreprise peut avoir une amende selon l’infraction. En cas de violation de données à caractère personnel, cette amende s’élève au montant le plus élevé entre 4% du chiffre d’affaires mondial annuel réalisé par la société et 20 millions d’euros. En ce qui concerne les autres violations des obligations de la RGPD, l’amende est de 2% du chiffre d’affaires mondial annuel ou 10 millions d’euros, selon la même condition que la précédente.

Les avantages du dispositif pour les entreprises

Loin d’être une contrainte, la RGPD apporte un certain nombre d’avantages aux entreprises. En premier lieu, le respect de ces règles met en confiance les clients et les interlocuteurs. Cela est pour l’entreprise un atout majeur par rapport aux concurrents qui ne seront pas prêts. En outre, la résilience est renforcée par l’instauration d’une politique de sécurité personnalisée. L’entreprise pourra donc résister aux coups durs tels que les cyberattaques et les incidents informatiques.

Se conformer à la RGPD permet aussi de bénéficier d’une meilleure efficacité commerciale par l’optimisation de la gestion des informations sur les prospects et sur les dossiers des clients. Enfin, grâce à ce dispositif, l’entreprise peut créer de nouveaux services en adoptant de nouvelles installations et le développement de solutions additionnelles. Vous pouvez lire également : entrepôt : prévenir les accidents.

Commenter l'article