Pour de nombreuses organisations, l’implémentation des nouvelles règles de confidentialité, le RGPD, s’est faite au prix d’un sérieux effort. Mais le travail ne s’arrête pas là. Elles devront continuer à surveiller le respect de ces règles dans le futur. Des audits périodiques constituent l’outil par excellence pour surveiller la conformité avec le RGPD. Il y a par conséquent dans le domaine du RGPD une demande croissante d’audits, émanant souvent de la direction ou du comité d’audit.
L’obligation de surveiller le niveau de respect du RGPD n’est d’ailleurs pas facultative. La législation impose d’évaluer le niveau de protection des données et, le cas échéant, de l’actualiser (voir article 24, alinéa 1). L’organisation doit à cet égard vérifier si les mesures qui ont été prises pour protéger les données à caractère personnel, sont suffisantes. En effet, les techniques permettant de protéger les données évoluent, tout comme les techniques visant à contourner ces systèmes de protection. La quantité de données à caractère personnel dont on dispose et ce que l’on en fait précisément n’est pas non plus une constante dans une entreprise. Des évaluations périodiques font en sorte que tous les traitements de données à caractère personnel se déroulent toujours conformément aux dispositions légales.
De surcroît, lorsqu’une organisation confie en tout ou en partie le traitement de données à caractère personnel à une partie externe, celle-ci doit elle aussi être soumise à de telles évaluations. Le droit d’exercer un audit doit dès lors être repris dans des contrats, appelés contrats de sous-traitance. Il est indiqué, le cas échéant, de contrôler le respect du niveau de protection des données convenu. Dans ces cas, la réalisation d’un tel audit est la méthode toute indiquée.
On peut donc affirmer que les entreprises ayant implémenté le RGPD devront ensuite se concentrer sur le contrôle et l’adaptation, ce qui demande un sérieux effort et un investissement financier permanent. Il est dès lors logique que les entreprises souhaitent valoriser leurs efforts, en apposant par exemple des labels démontrant qu’elles ont implémenté le RGPD avec succès et qu’elles sont même certifiées.
Bien que ces labels et certificats soient bel et bien une preuve de ces efforts, ils ne donnent aucune garantie quant à un traitement toujours correct des données à caractère personnel. D’un autre côté, ils instaurent une certaine forme de confiance pour les clients et les citoyens, surtout si ces certificats sont accordés après un examen approfondi et sur la base d’une norme reconnue par le marché. Ces normes trouvent lentement mais sûrement le chemin du marché, comme par exemple la norme BS 10012 et la norme ISO 27701.
Outre la certification d’organisations, il est également possible de soumettre des produits ou services à un screening. Cette possibilité figure d’ailleurs explicitement dans le RGPD (voir articles 42 et 43), contrairement à la certification d’organisations. Le marché est encore très jeune et inexploité à cet égard, mais il y a, conjointement avec l’intention de l’Europe d’œuvrer à la certification en matière de cybersécurité, encore beaucoup de potentiel ici.
Chez DPI, nous avons compris que la réalisation d’audits RGPD, tant pour l’évaluation d’organisations que pour le screening de produits et services, constitue une partie importante des activités dans ce domaine. Nous sommes également conscients du fait que tous les spécialistes RGPD ne sont pas des experts en ce qui concerne la réalisation d’audits. C’est la raison pour laquelle nous nous sommes activement penchés, ces 18 derniers mois, sur le développement d’une formation sur mesure pour tous ceux qui veulent maîtriser les techniques de base utilisées par un auditeur RGPD. Si vous êtes intéressé(e), n’hésitez pas à contacter l’un de nos coaches ou à vous inscrire via le site web.