L’audit de conformité RGPD s’adresse aux organisations du secteur social et médico-social qui ressentent la nécessité d’obtenir un diagnostic de leurs procédures et pratiques en matière de protection des données – ainsi que du respect de la réglementation en vigueur – et qui souhaitent obtenir un bilan rapide qui leur permettra de définir les axes de travail futurs. L’audit de conformité RGPD permet de :
- mesurer les pratiques de l’organisation – ainsi que l’ensemble de ses personnels – sur les obligations qui lui incombent en vertu de la réglementation en vigueur ;
- informer des manquements constatés, puis faire des recommandations sur les mesures à prendre pour y remédier et soumettre les arbitrages nécessaires ;
- vérifier la mise en œuvre de mesures appropriées pour permettre de démontrer que les traitements sont effectués conformément à la réglementation puis, si besoin, réexaminer et actualiser ces mesures ;
- analyser la bonne application du principe de protection des données dès la conception et par défaut dans tous les projets comportant un traitement de données personnelles (principe du « Privacy By Design ») ;
- auditer et contrôler, de manière indépendante, le respect de la réglementation, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement ;
- informer et faire des recommandations sur la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes concernées ;
- s’assurer de la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes formulées par des personnes concernées par les traitements dont l’organisme est responsable, s’assurer de leur transmission aux services intéressés et apporter à ces derniers son appui dans la réponse à fournir aux requérants.
Méthodologie
Notre intervention s’articule en différentes phases (qui peuvent varier selon le périmètre visé et le dimensionnement de l’organisme audité) :
Les entretiens avec des professionnels : l’auditeur procède à des entretiens individuels et/ou collectifs avec des membres de la direction puis divers professionnels, l’éventail des profils métiers désignés doit être large et diversifié (direction, ressources humaines, personnels administratifs, personnels de soins, etc.). L’analyse des pratiques et actions du délégué à la protection des données (DPD), ainsi que son appropriation par les utilisateurs, font l’objet d’un entretien spécifique avec celui-ci (s’il est interne à l’organisation).
Les visites de sites et les contrôles : à l’occasion de son déplacement dans le ou les établissement(s) sélectionné(s), l’auditeur visite et inspecte les lieux recevant du public ainsi que ceux de stockage des données (salle d’archivage, salle de serveurs informatiques, etc.). Ses contrôles se font également sur pièces et via étude des documentations disponibles. Il « joue » ainsi le rôle d’un contrôleur CNIL afin de proposer un état des lieux et une analyse aussi complets que possible des éventuels points de non-conformité.
La restitution : suite à la réalisation des entretiens d’audits, à ses visites et contrôles, l’auditeur analyse les éléments relevés et synthétise l’ensemble dans un rapport remis avant la restitution. Celle-ci est organisée quelques jours ou semaines après les phases précédentes. Elle donne lieu à une présentation avec commentaires et préconisations, puis des échanges.