Audit RGPD : Comment l’audit interne jouera un rôle clé dans la conformité ?

Qu’est-ce qu’un audit GDPR ? 

Les audits du règlement général sur la protection des données (GDPR) sont devenus la norme pour la plupart des organisations. Comme la plupart des audits réglementaires, les audits GDPR se déclinent généralement en deux saveurs : interne et externe. Les audits internes GDPR fonctionnent comme un auto-audit de la conformité au règlement et offrent l’opportunité d’apporter des améliorations aux processus internes et sont souvent sous les responsabilités de l’audit interne. Les audits GDPR externes proviennent du Bureau du commissaire à l’information (ICO) de la Commission européenne. 

Puisqu’un audit GDPR est un audit de conformité réglementaire, l’exécution réelle de l’audit est relativement statique. En fait, des groupes ont publié un programme d’audit GDPR qui lie l’audit de conformité directement à la réglementation. Les équipes d’audit interne peuvent jouer un rôle clé en facilitant l’auto-évaluation de la conformité interne et en déterminant comment auditer la conformité au GDPR.

Le 25 mai 2018, le règlement général sur la protection des données est entré en vigueur et est immédiatement devenu exécutoire en tant que loi dans l’Union européenne. La législation, dont l’impact sur les programmes de confidentialité et de sécurité des données a suscité des comparaisons sur la réglementation financière, affecte toute organisation qui collecte, stocke ou traite les informations personnelles des résidents de l’UE. La plupart s’attendent à voir un audit annuel interne GDPR à l’avenir pour assurer la conformité avec le règlement GDPR. 

Les audits externes, réalisés par le contrôleur européen de la protection des données, sont ciblés en fonction de « l’analyse des risques, si des catégories spéciales de données sont traitées, le temps écoulé depuis le dernier audit et si le nombre de plaintes a augmenté. » L’une des meilleures façons de se préparer à ce type d’audit est de réaliser une auto-évaluation interne. De cette manière, l’équipe d’audit interne peut évaluer et aborder l’état actuel de votre exposition aux risques liés à la sécurité des données. Poursuivez votre lecture sur l’audit rgpd en suivant le lien avocat rgpd

 

Que fait le GDPR ? 

Le GDPR unifie la réglementation de la confidentialité des informations personnelles de tous les résidents de l’UE en remplaçant toutes les lois sur la confidentialité des données spécifiques aux États membres par l’introduction d’une autorité de surveillance pour chaque État membre. Le GDPR augmente également les enjeux en cas de non-conformité, avec de lourdes amendes pouvant atteindre 20 millions d’euros et accorde aux consommateurs le droit à la rétribution en cas de violation de la confidentialité des données. 

 

Mise en application : Tendances passées et prédictions futures du GDPR

Alors que les entreprises au sein des États membres sont les plus exposées au GDPR, c’est-à-dire les processeurs d’informations personnelles les plus importants – sont vraisemblablement les plus préparées à l’échéance. La plupart des entreprises concernées par le règlement deviennent conformes peu après l’introduction de la loi le 25 mai. Historiquement, les autorités européennes chargées de la protection de la vie privée ont pris des mesures à l’encontre d’un large éventail d’entreprises pour des infractions à la vie privée avant le GDPR. Pour que les entreprises de l’ensemble du paysage commercial prennent le GDPR au sérieux, il est fort probable que les autorités de régulation poursuivent cette tradition en ciblant un éventail d’organisations – des grandes entreprises de traitement des données aux entreprises moyennes, dans les mois à venir.

 

Comment l’audit interne peut-il s’assurer que toutes les mesures sont prises pour une conformité efficace ?

L’audit interne doit continuer à éduquer la direction sur l’importance du GDPR et aider aux activités de remédiation. Il existe plusieurs activités dans lesquelles l’audit interne peut jouer un rôle maintenant que le règlement est en place et dans le cadre de l’audit annuel GDPR.

Développement d’un inventaire des activités de traitement

C’est l’une des activités les plus chronophages du processus global de conformité au GDPR à laquelle l’audit interne peut contribuer. Elle nécessite une cartographie des processus, l’identification des systèmes et des processus, et des choses que l’Audit interne fait déjà dans ses activités quotidiennes.

Révision de l’état de conformité

Dans certains cas, les entreprises peuvent avoir atteint un état de conformité, mais peuvent y être parvenues en rognant sur les coûts. Dans de tels cas, l’audit interne peut aider en effectuant un audit GDPR pour identifier chacun des composants critiques du GDPR qui ont été abordés, mais n’ont pas été documentés de manière adéquate et aider en documentant ces processus. Quelques exemples de cela en action sont l’identification de la base du traitement légal pour chacun des flux de travail dans l’inventaire et l’audit de l’avis de confidentialité.

Diligence raisonnable de tiers

Selon le stade où se trouve une organisation dans son état GDPR, l’audit interne peut aider aux activités de conformité. Il peut jouer un rôle dans l’audit des fournisseurs, par exemple.

Les évaluations d’impact sur la protection des données (DPIA)

Les évaluations d’impact sur la protection des données aident les organisations à identifier, évaluer et atténuer les risques liés aux activités de traitement des données, une étape essentielle pour se conformer au GDPR. Au fur et à mesure que les besoins en matière d’évaluation d’impact sur la protection des données sont identifiés, l’audit interne joue un rôle important dans la réalisation de ces évaluations.

Tirer parti des réglementations existantes autour du GDPR

La directive existante de l’Union européenne sur la protection des données comporte des éléments similaires à – et dans certains cas est même plus restrictive que le GDPR. Les organisations qui font un excellent travail en suivant la directive peuvent être plus à l’aise pour se conformer aux activités de courriel et de télémarketing du GDPR. Tout effort supplémentaire pour ces processus ne devrait pas constituer une charge supplémentaire importante. L’audit interne peut également s’appuyer sur les audits existants pour développer le programme d’audit GDPR.

Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : Avocat RGPD.