Audit RGPD : que dit la loi ?

Adoptée le 14 avril 2016 et mise en application depuis le 25 mai 2018, la loi RGPD (Règlement Général sur la Protection des Données) vise à contrôler la manipulation et la circulation des données à caractère personnel. Elle concerne les entreprises qui, à un certain niveau de leurs procédures de travail, collectent et manipulent des données personnelles. Elles doivent en effet se conformer à cette loi pour éviter de grosses sanctions. Il est de fait important qu’elles réalisent un audit RGPD afin de connaître la conformité de leurs activités au regard de ce règlement. Mais que dit la loi au sujet de cet audit et qui peut le réaliser ?

Quelles sont les entreprises concernées par le RGPD ?

Toutes les entreprises et organisations privées ou publiques s’occupant du traitement ou du sous-traitement de données personnelles en exerçant leurs activités dans l’Union européenne sont concernées par le RGPD. Sont également concernées les entreprises établies ailleurs et traitant des informations à caractère personnel de résidents européens.

Les données à caractère personnel sont les informations permettant d’identifier directement ou indirectement une personne physique. C’est le cas des noms et prénoms, plaques d’immatriculation, numéros de téléphone, informations bancaires, numéros de sécurité sociale, images, adresses postales ou encore enregistrements vocaux.

Par conséquent, les entreprises qui collectent, traitent, stockent ou utilisent ces types de données doivent mener un audit RGPD pour se conformer aux exigences de ce règlement afin d’assurer une protection optimale de la vie privée des personnes concernées. Qu’il s’agisse des données se rapportant aux salariés, fournisseurs ou clients, elles doivent être traitées dans le respect total de la loi.

RGPD

Comment se conformer à la loi RGPD ?

Pour se conformer à cette loi, l’entreprise doit respecter les principes de celle-ci. Idéalement, elle doit intégrer les contraintes techniques et juridiques de ce règlement dans la conception de son projet de traitement des données.

Un tri sera nécessaire pour débarrasser la base de données de l’entreprise des données qui ne sont pas pertinentes pour ses objectifs. Celle-ci devra collecter les informations en toute transparence et avec l’accord des personnes concernées. De même, elle doit respecter l’usage qu’elle a communiqué à ces dernières concernant la rétention de ces informations.

D’un autre côté, la société doit encadrer l’utilisation de ces informations et en faire un suivi rigoureux. Elle doit mettre en place les mesures de sécurité nécessaires pour les protéger et limiter au maximum les fuites et vols. C’est pourquoi il sera nécessaire en amont d’identifier et de gérer les risques que comportent l’acquisition, le traitement et le stockage de ces données en fonction de leur nature et de leur quantité.

Pour intégrer tous ces points et se conformer à la loi, la société doit tenir un « registre des activités de traitement ». Ce dernier comporte plusieurs catégories comme le temps de conservation des données collectées, leur nature et les parties prenantes. Cependant, quand l’entreprise dispose de moins de 250 salariés, elle est autorisée à n’y inscrire que des données sensibles ou celles qui présentent des risques à la liberté et aux droits des personnes. Plusieurs autres démarches sont nécessaires pour se conformer à cette loi.

Visiblement, pour respecter le Règlement Général sur la Protection des Données dans son entreprise, il faut avoir des connaissances juridiques et informatiques sur ce dispositif de sécurité de la CNIL (Commission Nationale de l’Informatique et des Libertés). Il faut par conséquent un spécialiste agréé pour faire un bon audit RGPD et aider les entreprises à corriger leurs failles.

Qui peut faire un audit RGPD ?

Selon la loi, seul un DPO (Data Protection Officer), encore appelé Délégué à la protection des données, est habilité à faire un audit RGPD. Ce spécialiste maîtrise parfaitement l’application de ce règlement ainsi que les techniques poussées en matière de sécurité informatique.

Il possède en effet des compétences en cyber sécurité lui permettant d’accompagner les entreprises dans le renforcement de leurs systèmes d’informations. Il s’agit d’un bon conseiller qui est également doté des compétences en matière de communication.

On distingue deux types de DPO : le DPO externe et le DPO interne. Ce dernier est un professionnel recruté par l’entreprise et qui travaille en son sein et au même titre qu’un salarié. Il dispose de plus d’indépendance et de protection dans l’exercice de ses fonctions. La loi le protège en effet des sanctions et licenciement dû à ses agissements légaux effectués dans le cadre de son travail. Il peut toutefois être relevé de ses fonctions dans les cas de faute grave.

Quant au DPO externe, il est un prestataire externe que la société peut solliciter pour effectuer légalement cet audit à condition qu’il soit réellement qualifié. Il faut qu’il soit expérimenté et compétent. C’est pourquoi de nombreuses sociétés font appel aux cabinets de conseil en protection des données. Ceux-ci disposent généralement d’une équipe d’experts en :

  • Cyber sécurité ;
  • Conseil juridique ;
  • Protection des données ;
  • IT management ;
  • Data privacy management ;
  • Et plus encore.

Qu’il soit interne ou externe, ce délégué a pour mission de conseiller les dirigeants sur les bonnes pratiques en matière de protection des données et de superviser l’application des principes comme le Privacy by default et le Privacy by design. Après l’audit, il relève les failles de l’entreprise et note les erreurs.

Il prend ensuite les mesures correctives nécessaires et renforce la sécurité du système informatique. Ce professionnel assure également la relation entre les personnes concernées par les données et l’entreprise. Il représente par ailleurs l’intermédiaire entre cette dernière et la CNIL.

RGPD

Loi RGPD : est-il obligatoire de désigner un DPO ?

Les entreprises qui collectent des données personnelles sensibles ont l’obligation de se conformer au RGPD. Ce règlement s’applique à elles toutes, quelles que soient leurs tailles et leurs activités (qu’il s’agisse d’une entreprise dans le BTP, d’une agence de voyage ou encore d’agence de recrutement…). Par conséquent, une société qui collecte, traite ou stocke des informations sensibles doit désigner un Délégué à la protection des données pour s’assurer d’exercer une gestion conforme de celles-ci au regard des exigences du règlement. Parmi ces données, on distingue celles portant sur l’orientation sexuelle, la santé des malades, les courants politiques, la religion, l’appartenance ethnique et bien d’autres encore.

Quelles sont les sanctions RGPD encourues par les entreprises ?

Les entreprises qui ne sont pas conformes au Règlement Général sur la Protection des Données peuvent être sanctionnées par la CNIL à la suite d’un contrôle. Les sanctions varient en fonction de la gravité de la non-conformité de l’entreprise contrôlée. Il peut s’agir entre autres des sanctions telles que :

  • Un avertissement ;
  • Une mise en demeure ;
  • Une injonction ;
  • Une suspension des traitements ;
  • Une amende.

Quand les manquements au règlement sont peu significatifs, des observations sont faites pour corriger les failles, renforcer la sécurité ou encore modifier la durée de conservation des données. Quand les failles sont plus importantes, l’entreprise est mise en demeure et un délai lui est donné pour se mettre en conformité. Cette sanction peut être rendue publique dans certains cas. D’autres pénalités supplémentaires peuvent s’ajouter selon les cas. Dans le cas d’une amende, l’entreprise peut payer jusqu’à 4 % de son chiffre d’affaires annuel mondial. Parfois, cela peut atteindre 20 millions d’euros !

En définitive, la loi RGPD est applicable à toutes les sociétés manipulant des données à caractère personnel et plus particulièrement à celles qui traitent des informations sensibles. Elles risquent de lourdes sanctions si elles ne se mettent pas en conformité avec le règlement avant un contrôle de la CNIL. Pour répondre à ces normes, elles doivent tout d’abord faire réaliser un audit RGPD. Le professionnel exigé par la loi pour faire cet audit est le Délégué à la protection des données.

Laisser un commentaire

Portail Economie