CHACK : Entreprise de sécurité informatique

Audit RGPD

Plateforme cybermalveillance
CHACK UN sa cybersécurité, CHACK UN son choix.
DEVIS GRATUIT
Veuillez activer JavaScript dans votre navigateur pour remplir ce formulaire.
Étape 1 sur 2
Aidant Cyber Mon aide cyber

C’est quoi un audit RGPD ?

Tout d’abord, avant de vous donner la définition de l’audit RGPD, il est important que vous sachiez que les contrôles de la CNIL dans le but de réaliser une vérification de respect du règlement général sur la protection des données des entreprises, sont de plus en plus nombreux. Le RGPD encadre le traitement des données personnelles en Europe. Lorsque la protection des données n’est pas conforme à la réglementation, l’entreprise s’expose à de lourdes sanctions. Par conséquent, se mettre en règle est indispensable. Il s’agit de la mise en conformité RGPD. L’audit RGPD (Règlement Général sur la Protection des Donnés) désigne la première étape à effectuer lors d’un projet de mise en conformité du traitement des données personnelles. Cet audit fait référence à un état des lieux général de la situation d’une société en ce qui concerne la gestion des données personnelles. Cet état des lieux RGPD sert à réaliser une analyse de la marge entre les obligations et les règles du RGPD et la gestion actuelle des données personnelles de l’entreprise. De même, ce dernier permet la détection des absences les plus dangereuses pour l’organisation (zone à risque) et l’identification des chantiers et des actions à mettre en place pour être en conformité. L’audit RGPD a comme objectif de construire une feuille de route de mise en conformité.

Qui est concerné par l’audit Règlement Général sur la Protection des Données

L’audit Règlement Général sur la Protection des Données concerne de nombreuses entités. Ce type d’audit s’adresse aux entreprises, aux associations à but non lucratif et aux organismes gouvernementaux qui se trouvent dans l’Union Européenne. Toutes les entités qui se situent hors UE, mais dont le traitement des informations de personnes localisées en Europe sont également concernées par le RGPD audit. Enfin, cet état des lieux est aussi à destination des fournisseurs de services et des sous-traitants qui font de la manipulation de data pour le compte d’autres sociétés.

audit cybersecurite chack
securite audit chack

Pourquoi réaliser un audit RGPD ?

Réaliser un audit RGPD est important pour diverses raisons. Celui-ci permet de :

  • Faire un état des lieux de la situation de la société
  • Discerner les éventuels risques et mettre en place des actions adaptées pour les corriger (plan d’action et feuille de route)
  • Réaliser une cartographie des données de la société et comprendre leur système de traitement pour les appliquer de la bonne façon

Comment faire un audit RGPD ?

Voici les 7 étapes clés pour faire un audit RGPD :

1. Audit du recueil des données personnelles

2. Audit du système d’information

3. Audit du traitement des données

4. Audit de la sécurité

5. Rédaction du rapport d’audit RGPD

6. Mise en place du plan d’action

7. Procéder régulièrement à des audits RGPD

Audit recueil des données personnelles

L’audit recueil des données personnelles est la première étape du traitement RGPD. Au cours de cette étape, l’expert procède à une inspection et à une analyse des différents mécanismes de collecte de données actuels au sein de l’entreprise, de ses sites web, de ses outils et autres. La collecte des données personnelles est réglementée par le RGPD et soumise au principe de consentement. La personne chargée de l’audit RGPD liste toutes les sources de collecte, comme les informations personnelles obtenues par téléphone, les formulaires internet ou encore les fiches de renseignements. Cette dernière réalise une qualification des modes de collecte utilisée par la société et procède à une vérification de la présence ou non de recueil de consentement. Cette procédure est réalisée pour toutes les sources de collecte. Elle est tenue de :

  • Vérifier s’il y a des cases précochées et les supprimer si c’est le cas
  • Vérifier si le formulaire précise l’objectif de la collecte de manière claire et transparente
  • Vérifier si le formulaire indique à l’internaute ses droits. Les droits de modification, les droits de rétraction, etc.

 

L’un des points les plus importants du RGPD est le recueil de consentement. Au moment des contrôles de la CNIL, celle-ci y porte une grande attention.

analyse donnees chack

Audit système d’information

L’audit système d’information consiste à cartographier l’ensemble des systèmes de données, comme les outils, les bases et autres. Il s’agit également de cartographier les flux des systèmes ET avec les systèmes externes de l’entreprise. Un tel audit est en mesure de vérifier la présence de données personnelles au sein de l’organisation, le lieu du stockage de ces dernières et la manière dont elles circulent dans l’organisation et en dehors de celle-ci. Cet audit RGPD se présente comme une cartographie du système d’information. Le travail de cartographie est une tâche difficile, étant donné que les outils et les bases se multiplient. En effet, les données sont situées un peu partout et le spécialiste ne sait pas toujours où elles sont situées. Les données personnelles sont stockées dans le système d’information de la société. Afin de savoir quelles sont les informations récoltées, il faut faire un inventaire de données. Cet inventaire permet de lister tous les types de données et d’indiquer leur lieu de stockage.

Audit traitement des données

Si tous les autres audits RGPD donnent la possibilité de savoir la manière dont les données sont collectées par l’entreprise et comment ces dernières circulent, cet état des lieux permet de savoir comment elle les utilise. L’audit traitement des données personnelles se décompose en plusieurs parties. Ce nouvel audit RGPD, également appelé audit de traitements, commence par une analyse de la finalité des données. Cela permet de savoir à quoi servent les données collectées, soit pourquoi l’entreprise les possède. Ensuite, il faut déterminer comment sont utilisées les données personnelles et quels traitements sont effectués avec celles-ci. La tenue d’un registre qui répertorie l’ensemble des traitements opérés pour les données personnelles est imposée par le RGPD. L’établissement du registre des traitements se sert de cet audit comme commencement. L’audit RGPD se termine sur un mapping de traitements. La finalité de la collecte est décrite par le spécialiste qui s’occupe de l’audit. Au cours de cet état des lieux, il est également identifié les données non utilisées par l’entreprise et qui n’ont aucune finalité. Pour minimiser les données, la suppression de ces dernières est conseillée. En effet, selon le RGPD, il ne faut stocker que celles exploitées ou que l’on prévoit d’utiliser prochainement. Ce type d’audit permet aussi de savoir quelles données sont échangées avec une autre entité qui se localise hors de l’Europe, de trouver les données dont l’utilisation n’est pas en conformité avec le RGPD, de connaître les responsables de traitement et d’indiquer les règles d’accès aux données.

Audit sécurité des données personnelles

Il s’agit d’un audit technique en lien avec le stockage et la sécurité des données, ainsi que les processus informatiques. Cet état des lieux RGPD va permettre de réaliser une analyse des risques technologiques potentiels en ce qui concerne les données. L’audit concerne les bases de données, les réseaux, les portes informatiques, les outils, les flux de données entrants et sortants, les applicatifs et bien d’autres. Pendant cet audit RGPD, des tests d’intrusion sont effectués. De même, il faut analyser les procédures mises en place lors d’une fuite de données, tout comme les mesures d’anonymisation des données et les mesures de cryptage.

Rapport d’audit RGPD

Après avoir fait un état des lieux complet, un rapport d’audit est rédigé. Ce dernier consigne les points conformes et non conformes, ce qui permet à l’entreprise de savoir les écarts entre la réalité et ce qu’impose la loi. Un plan d’action est également mis en place pour être conforme au RGPD. Celui-ci rapporte plusieurs informations, telles que la nature et la priorisation des chantiers que l’entreprise doit réaliser, les ressources humaines et la feuille de route.

Quels sont les différents diagnostics à effectuer dans un audit RGPD ?

Diagnostic du processus de récolte des données personnelles

Diagnostic de système d’information

Diagnostic du traitement des données personnelles

Diagnostic de la sécurité

Qui peut prendre en charge la réalisation d’un audit RGPD ?

Pour la réalisation d’un audit RGPD, il est préférable de passer par un DPO externe, comme CHACK. Un délégué à la protection des données externe dispose d’une réelle expertise et de nombreuses compétences techniques et juridiques. Il connaît et maîtrise parfaitement le RGPD, de la réglementation qui l’entoure, ainsi que des obligations des entreprises en ce qui concerne la gestion des données personnelles. Ce type d’entreprise est en mesure de mener correctement les diagnostics RGPD, selon les normes en vigueur. Les membres d’une entreprise n’ont pas toujours ces compétences et cette expertise. Par conséquent, la meilleure solution est de passer par un professionnel certifié. Pour obtenir plus de renseignements et connaître les services et prix proposés par la société CHACK, il ne faut pas hésiter à demander un devis audit RGPD en ligne, gratuit et sans engagement.

Le prix audit RGPD varie en fonction de la taille de l’entreprise et des professionnels qui proposent ce service. En moyenne, les tarifs vont de 500 € à plus de 10 000 €. Pour connaître le coût de ce type d’audit, une demande de devis en ligne est nécessaire.

chack securite informatique entreprise