Audit RGPD
7 étapes pour votre audit
1. Réalisation d’un audit technique auprès de votre responsable informatique
2. Entretien avec un responsable informatique
3. Entretien avec un responsable juridique, ressource humaine et/ ou un membre de la direction
4. Rédaction de vos registres de traitement
5. Rédaction de vos répertoires de sous-traitants
6. Établir le plan d’actions de mise en conformité
7. La gestion des incidents
Audit analyse d’impact RGPD
Le RGPD impose aux responsables de traitement et à leurs sous-traitants d’analyser les risques potentiels d’atteinte à leur traitement, de prendre les mesures préventives en conséquence, et enfin, en cas d’atteinte, de prendre les dispositions adéquates :
Avant le traitement par la réalisation d’une analyse d’impact afin de cibler les risques potentiels.
Par la désignation d’un délégué à la protection des données dans certains cas.
- Obligation de sécuriser le traitement des données personnelles.
- Obligation de notification de violation des données à caractère personnel dans les 72h
à l’autorité de contrôle et à la personne concernée (article 33 et 34).
1. Réalisation d’une analyse d’impact
Lorsqu’un traitement « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », le responsable de traitement doit effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées.
Cette analyse d’impact est obligatoire dans les cas suivants :
- L’évaluation systématique et approfondie d’aspects personnels concernant des personnes
physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base
de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne
physique ou l’affectant de manière significative de façon similaire. - Le traitement à grande échelle de catégories particulières de données visées à l’article 9
paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et
à des infractions visées à l’article 10 . - La surveillance systématique à grande échelle d’une zone accessible au public.
Enfin, la CNIL établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise.
2. La désignation d’un délégué à la protection des données
Les responsables de traitement et leurs sous-traitants devront désigner un délégué à la protection des données (DPO) :
▶ S’ils appartiennent au secteur public.
▶ Si leur activité principale nécessite un suivi régulier du fait de leur nature, leurs portées et/ou leur finalité.
▶ Si les données traitées sont considérées comme « sensibles » (comme les données de santé, de religion…) ou portent sur certaines condamnations pénales ou infractions. Sa désignation devra être fondée sur ses qualités professionnelles et notamment ses connaissances du droit et des « pratiques en matière de protection de données »
Le DPO doit « dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ».
3. Obligation de sécuriser le traitement des données personnelles
Suite à l’analyse d’impact des risques, le responsable de traitement et son sous-traitant sont désormais dans l’obligation de mettre en place plusieurs mesures et ce dès la conception du traitement, c’est la notion de « privacy by design » :
▶ Des moyens permettant de « garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».
▶ Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
▶ Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement
CONTACTEZ-NOUS
Contactez-nous au
+33 (0)3 89 44 06 50
Alsago est partenaire
de l’agence de communication
et de l’imprimerie
