Services sur mesure :
Audit de conformité
Diagnostic
Cartographie
Documentation
Rapport
Plan d’actions
Registre
1. Diagnostic
Nous démarrons l’audit par 2 questionnaires :
- Le questionnaire de maturité RGPD. Ce dernier éprouve votre système d’information dans sa globalité. Il permet ainsi de connaître, notamment, vos pratiques en matière de sauvegarde, stockage, transfert de données ou encore les différentes politiques mises en place au sein de votre entreprise.
- Le questionnaire RGPD consiste à prendre connaissance des informations nécessaires à l’identification des traitements de données à caractère personnel mis en œuvre et à l’analyse des applications, sites internet et des plateformes utilisés.
Les questionnaires sont complétés par des entretiens, servant à l’analyse proprement dite des traitements de données à caractère personnel mis en œuvre.
2. Cartographie
Les informations collectées par les questionnaires RGPD et lors des entretiens sont analysées au regard des exigences juridiques, techniques et organisationnelles du RGPD. Il s’agit alors, dans le périmètre de l’audit de conformité :
- d’identifier les différents traitements de données à caractère personnel en fonction de leurs finalités ;
- d’évaluer le niveau de conformité au regard du RGPD pour chacun de ces traitements ainsi que leur conformité aux règles et recommandations de la CNIL ;
- d’émettre dans un rapport d’audit, en cas d’écart de conformité, les préconisations appropriées pour atteindre le niveau de conformité correspondant aux exigences réglementaires ;
- d’analyser les risques spécifiques en matière de sécurité afin de garantir la protection adéquate des données à caractère personnel et, le cas échéant, d’émettre les préconisations y afférentes, conformément à l’article 32 du RGPD.
3. Documentation
Nous vérifions que les documents que vous nous avez transmis (notamment les contrats de vos sous-traitants et fournisseurs traitant vos données à caractère personnel) sont conformes au RGPD. Si ce n’est pas le cas, nous rédigeons l’ensemble de la documentation juridique indispensable pour informer les personnes concernées (vos candidats, salariés, clients, fournisseurs, sous-traitants, prestataires, partenaires… ) au regard de l’article 12 du RGPD ou nous modifions les documents et nous contactons vos sous-traitants afin de leur demander d’y intégrer une clause RGPD.
4. Remise du rapport
Suite à nos différents échanges et aux étapes 1, 2 et 3 ci-dessus, nous vous livrons notre rapport d’audit RGPD. Ce rapport a vocation à mettre en exergue vos pratiques en matière de traitement de données personnelles ainsi que d’analyser vos écarts vis-à-vis de la réglementation. Ce rapport d’audit comporte nos préconisations afin de corriger ces écarts.
5. Plan d’actions
Le plan d’actions fait écho à votre rapport d’audit. Il reprend toutes nos préconisations et recommandations. Il liste de manière précise toutes les actions qui sont à mettre en œuvre afin de vous conformer au RGPD. Nous vous accompagnons dans la mise en place des actions à effectuer.
6. Inscription au registre
Nous nous basons sur la version finale du rapport d’audit RGPD afin d’établir vos registres obligatoires tels que requis par l’Article 30 du RGPD :
- le registre des activités de traitement ;
- le registre des sous-traitants (quand nécessaire) ;
- le registre des demandes de droit d’accès ;
- le registre des incidents de sécurité.
Ces registres sont dûment consignés dans le logiciel DATAE mis à votre disposition.