Audit RGPD

Pour bien comprendre de quoi il retourne il convient avant tout de savoir qui est concerné. Souvent, à tort, on parle d’entreprise. Or, nous le savons, le RGPD concerne toutes les organisations collectant des données personnelles :

• Entreprises privées (quelque soit leur forme juridique)
• Associations (loi 1901, à vocation d’insertion et sociale, comité des fêtes, …)
• Etablissements publics (Mairie, Ministère, Département, Office de Tourisme, …)
• Etablissements d’économie mixte (à la fois à fonds privés et publics)

On le voit, seuls les particuliers sont exempts de cette mise en conformité. Mais alors, puisque tout le monde est concerné, je le suis aussi. Mais comment dois-je faire ? C’est à ce moment que l’audit intervient. En effet, l’audit va à la fois servir à faire un point précis de ce qu’il reste à faire (parfois ce reste équivaut à « tout ») et surtout à bien comprendre comment les données personnelles sont traitées au sein de l’organisme audité. C’est pourquoi l’audit est le point de départ pour une mise en conformité satisfaisante et réaliste.

Le RGPD impose aux entreprises de nouvelles obligations en matière de protection des données personnelles. Ces obligations, souvent vues comme des contraintes et un changement difficile à adopter, sont une feuille de route qui va permettre de démontrer la qualité de nos traitements et de leur manipulation.

Parfois, nous le constatons, nous devons proposer des modes de fonctionnement qui différent des usages en cours dans la structure auditée ; mais le plus souvent, ces obligations ne sont qu’une étape qui s’intègre de façon simple aux process déjà existant et cohérents avec l’activité.

Nous le voyons, l’audit n’est pas un moyen de contrôle sanctionnant nos manques à l’égard du RGPD mais une feuille de route qui va nous permettre de réfléchir à la bonne adoption de ces nouveaux usages de façon à garantir à la fois des process de travail sains et cohérents et un respect de la règlementation en vigueur.

Cet audit RGPD permet d’établir une cartographie globale, une vue d’ensemble, de tous nos processus internes en matière de collecte de données.

Il faut donc interroger l’ensemble des acteurs intervenant sur les données personnelles collectées afin de comprendre comment ces dernières sont utilisées et par qui, et surtout à quelles fins.

On pense souvent à tort que l’audit peut se limiter aux services juridiques, à la direction et aux services informatiques. C’est faux, n’importe quel service d’une entreprise collecte des données personnelles, les traite et les stocke. Et donc se retrouve confronté au RGPD. De fait, les comptables et les RH sont souvent les parents pauvres de cet audit et sont régulièrement écartés des audits de conformité.

Cependant, ces audits correspondent à des attendus très spécifiques de la part de l’autorité de contrôle de notre conformité : la CNIL. C’est pourquoi il est hautement recommandé de se conformer à ses attendus lors de la réalisation de cet audit.

Soit en utilisant les référentiels mis à disposition ou en passant par un cabinet tel que 360 OBJETS, afin de parfaire l’audit en y intégrant une vue d’ensemble de votre activité et des cœurs de métiers impliqués dans les traitements des données personnelles.

Cet audit RGPD dure de plusieurs heures à plusieurs jours, selon la taille de votre entreprise.

Ce qui rentre en ligne de compte est à la fois la taille de votre entreprise en termes d’organisation (sa taille d’organigramme, pour faire très simple) et le nombre de traitements effectué par chaque service ajouté au nombre de traitements faits par l’ensemble des services.

Il n’existe pas de règles prédéfinies pour réaliser un audit de conformité, seule la réalité du terrain permet de correctement définir le temps nécessaire à la réalisation d’un audit de conformité sincère avec la réalité opérationnelle de chaque organisme audité.

Chez 360 OBJETS, chaque mission d’audit débute avec une réunion de cadrage qui permet d’estimer la durée de mobilisation de chaque personnel concerné par l’audit. Ainsi, l’estimation et la réalité de la réalisation sont souvent très proches.

Au-delà du temps passé à auditer l’organisation, le coût de l’audit se voit aussi augmenté du temps passé à échanger avec la gouvernance de l’organisme audité afin de s’assurer que les rendus finaux sont à la fois exacts comparés à la réalité du terrain et conformes aux obligations « métier » de la structure.

Encore une fois, la mise en conformité au RGPD ne doit en aucun cas transformer l’organisme mais permettre à chacun de se rendre conforme à la fois tout en respectant le cœur de métier de chaque entité auditée.

C’est pourquoi le cabinet 360 OBJETS propose plusieurs types de tarifications :

• En fonction des besoins de la structure (pré-audit réalisé par la structure en interne ou par 360 OBJETS)
• En fonction du mode d’audit (en présentiel, en distanciel, les deux)
• A la journée (pour plus de souplesse d’organisation)
• Au forfait (pour un budget maîtrisé)

La seule réponse à entendre est NON. Malheureusement, votre audit en main, il faudra passer à l’action. L’audit n’est que la première étape de votre mise en conformité.

Ensuite, il faudra prévoir un certain nombre d’actions à mettre en œuvre afin de devenir conforme. Toutes les actions correctives préconisées font l’objet du compte rendu d’audit et de son plan d’action de mise en conformité. En effet, un audit n’est complet que s’il est accompagné d’un plan d’action visant à vous mettre en conformité le plus rapidement et le plus efficacement possible.

Là encore, 360 OBJETS vous accompagne vers une mise en conformité optimale en y intégrant toutes les parties prenantes. Nous pouvons accompagner et conseiller votre DPO, être votre DPO, réaliser la mise en conformité ou même la superviser. 360 OBJETS agit pour mettre en œuvre votre conformité !

Pour plus d’informations, vous pouvez consulter nos pages dédiées.