La conformité à la protection des données devrait définitivement être une priorité pour toutes les organisations qui détiennent des données personnelles. Cependant, contrairement à ce que certaines de ces promotions pourraient laisser entendre, vous n’y arriverez pas simplement en assistant à une conférence ou en achetant un logiciel.
Au fond, la conformité exige deux choses de votre part : une compréhension de vos obligations et un examen approfondi de votre entreprise et de vos processus pour voir comment ces obligations s’appliquent.
C’est là qu’intervient l’audit RGPD. Réalisé de la bonne manière, votre audit consiste à mettre sous les projecteurs chaque domaine de votre activité dans le contexte du » livre des règles » de la protection des données. Grâce à votre audit, vous pouvez identifier précisément les changements que vous devez apporter et toute la question de la conformité au RGPD devient beaucoup moins intimidante à mettre en œuvre.
Tout ce qui doit être inclus dans un audit RGPD
Votre audit de conformité RGPD doit vous laisser satisfait d’avoir répondu aux questions suivantes par un oui ferme et de pouvoir démontrer votre conformité :
- Savez-vous que votre personnel sait pourquoi le RGPD est important pour votre organisation ?
- Êtes-vous sûr de savoir ce que vous faites avec les données des gens ?
- Êtes-vous sûr de dire aux gens ce que vous faites avec leurs données ?
- Vous êtes sûr de faire confiance aux organisations avec lesquelles vous partagez des données ?
- Vous êtes sûr que personne ne se plaindra ?
- Vous êtes sûr de savoir quels pays assurent la sécurité des données ?
- Vous êtes sûr de construire des produits et des services en tenant compte de la vie privée ?
- Êtes-vous sûr que vous êtes sécurisé ?
Pour en savoir plus sur le logiciel RGPD, vous pouvez cliquer ici.
Établir si le GDPR s’applique à vous
La première étape de tout audit de conformité consiste à vérifier l’applicabilité de la loi à votre organisation. Notez que le RGPD ne s’applique qu’aux « données personnelles ». Il ne concerne donc pas, (par exemple), les plans d’affaires et la propriété intellectuelle. Toutefois, il couvre des domaines tels que les données des clients et les dossiers des RH. Une définition plus détaillée des « données personnelles » est disponible.
La loi s’applique aux données personnelles des citoyens de l’UE. Cela signifie que même si votre organisation est basée en dehors de l’Europe, mais que vous traitez les données personnelles de citoyens de l’UE, vous devrez vous mettre en conformité avec le RGPD.
Former votre personnel
Si vous ne formez pas votre personnel de manière régulière, vous ne vous conformez pas au RGPD. Vous devez faire comprendre aux gens pourquoi la protection des données est importante. S’ils comprennent, ils se soucieront des données personnelles qu’ils manipulent et s’ils font attention, alors ils s’avéreront moins susceptibles d’être à l’origine d’une violation de données.
Vous devez garder à l’esprit que 90 % des violations de données sont causées par une erreur humaine.
Revoir votre patrimoine de données personnelles
Il s’agit d’établir :
- quelles catégories de données personnelles vous traitez ;
- d’où elles proviennent, leur finalité ;
- comment elles circulent dans votre organisation ;
- et qui y a accès.
Il s’agit de la cartographie des données, qui fait partie intégrante de tout audit RGPD.
N’oubliez pas que la première étape à franchir sera de convertir ces cartes de données en un registre des activités de traitement.
Établir le champ d’application : êtes-vous un responsable du traitement, un sous-traitant ou un responsable conjoint du traitement ?
Si vous êtes un responsable du traitement, c’est-à-dire que vous déterminez les finalités et les moyens du traitement des données personnelles, la grande majorité du RGPD s’applique à vous. En revanche, pour les sous-traitants (autrement dit si vous faites partie de ceux qui jouent un rôle limité sous les instructions du responsable du traitement), un champ d’application plus restreint s’applique.
Cela dit, le RGPD introduit de nouvelles obligations pour les sous-traitants et des exigences spécifiques pour l’accord nécessaire entre les contrôleurs et les sous-traitants. Les informations à propos des différences entre les responsables du traitement et les sous-traitants peuvent vous aider à déterminer quelles parties de la loi s’appliquent.
Comment déterminer si vous avez besoin d’un délégué à la protection des données (DPD) ?
Toutes les organisations ont besoin d’une personne responsable de la protection des données. Cela fait partie de ce que l’on appelle le » principe de responsabilité « . Cependant, toutes les organisations n’ont pas besoin d’un délégué à la protection des données (DPD) officiel. Une vérification en amont s’impose de ce fait.
Vérifier le « traitement licite » et le consentement
Vous devez avoir une « base légale » pour chaque activité de traitement des données que vous menez. Le consentement est une base applicable pour beaucoup d’entreprises. C’est-à-dire qu’il est légal pour vous de traiter des données personnelles, mais seulement dans la mesure où la personne concernée vous a donné son consentement pour le faire.
Si vous vous appuyez sur le consentement, votre audit RGPD doit garantir que vous avez un consentement suffisant pour chaque activité de traitement et que vous pouvez démontrer ce consentement. Néanmoins, n’oubliez pas que vous devez informer les personnes qu’elles peuvent retirer ce consentement lorsqu’elles le souhaitent.
Obligations de notification et de transparence
Le RGPD vous oblige à notifier les personnes dont vous traitez les données. Il comprend également des exigences relatives aux informations qui devraient être fournies dans les avis de confidentialité. Votre audit doit inclure un examen des avis existants afin d’identifier les modifications nécessaires. Il devrait pareillement inclure un examen du langage de ces avis pour vérifier que vous communiquez avec les personnes concernées de manière claire et transparente.
Il serait alors judicieux de rédiger votre propre avis de confidentialité dans le but de renforcer la confiance des utilisateurs.
Partage de données
De nombreuses violations se produisent lorsque des données personnelles sont partagées et que l’organisation avec laquelle elles sont partagées n’en prend pas soin de façon adéquate. C’est pourquoi tout audit de conformité des données doit impliquer un processus de découverte afin que vous sachiez avec qui les données personnelles ont été partagées. Il doit aussi comprendre un processus d’enquête pour évaluer s’ils s’occupent de ces données conformément au RGPD et aux normes du secteur en tenant compte de la nature de ces données personnelles.
Droits des personnes concernées
Le RGPD a apporté de nouveaux droits et des droits renforcés pour les personnes, notamment :
- le droit de demander l’effacement et la rectification des données ;
- le droit de s’opposer au traitement ;
- ainsi que le droit de demander le transfert des données à un autre responsable du traitement (portabilité des données).
Sécurité des données et gestion des violations
Dans le cadre de votre audit RGPD plus large, une évaluation des risques liés à la sécurité des données vous permet d’identifier les risques de sécurité spécifiques auxquels vous êtes confrontés, ainsi que les mesures » appropriées » nécessaires pour faire face à ces risques.
Pour la première fois, le RGPD a introduit la déclaration obligatoire des violations. Votre audit devrait, par conséquent, se concentrer sur la question de savoir si vous disposez des outils et des procédures de tenue de registres et de signalement indispensables pour rester au top dans votre marché. Ce n’est qu’une des choses pour lesquelles une entreprise professionnelle peut vous aider.