Nous réalisons des missions d’audit afin d’évaluer le niveau de conformité de votre entité.
Nous évaluons les écarts de conformité avec les réglementations applicables en matière de protection des données. Cela donne lieu à la rédaction de rapports pragmatiques de mise en conformité permettant de prioriser les actions à mener.
Un audit RGPD permet d’évaluer si votre entreprise ou organisation est conforme ou non à ces obligations
1. Gouvernance de protection des données
Dans quelles mesures la responsabilité, les politiques et les procédures de protection des données ont été mis en place? Fonctionnent-ils au sein de votre organisation?
2. Gestion des risques
Les risques liés à la vie privée sont-ils compris dans votre registre des risques d’entreprise? Quels arrangements ont-été mis en place en termes de gestion des risques liés à la vie privée au sein de votre organisation? Dans quelles mesures le régime des risques d’entreprise comprend-il les risques liés à des informations précises? Quels risques liés aux droits et libertés des personnes sont abordés?
3. Projet RGPD
Dans quelles mesures un projet RGPD mis en place avec le personnel, les ressources et le support appropriés peut-il fournir des résultats réalistes?
4. Délégué à la protection des données (DPD)
La nomination d’un DPD est-elle obligatoire? Un DPD a-t-il été nommé? Le rôle est-il positionné de manière adéquate? La personne nommée peut-elle fournir les résultats nécessaires face aux exigences du RGPD?
5. Rôles and responsabilités
Dans quelles mesures les rôles et responsabilités sont-ils définis et mis en place au sein de votre organisation, y compris les formations et séminaires de sensibilisation nécessaires?
6. Champ d’application
En tant que responsable du traitement ou de sous-traitant, il est essentiel de bien définir le champ d’application en prenant en compte tous les traitements de données auxquels, ainsi que toutes les activités de partage des données.
Vous devez également identifier toutes les bases de données contenant des données personnelles afin de déterminer le champ d’application ainsi que les traitements extraterritoriaux/transfrontaliers.
7. Analyse des processus
Il est essentiel d’identifier la mesure dans laquelle les principes de traitement des données sont mis en place. La base légitime permettant le traitement des données est un élément clé de conformité avec le RGPD. Existe-t-il des processus pour lesquels l’Analyse d’Impact sur la Protection des Données (DPIA) est obligatoire? Pour quel processus une DPIA peut-elle aider à mettre en place le principe de protection des données dès la conception et par défaut?
8. Système de gestion des données personnelles (PIMS)
De nombreux documents sont nécessaires afin d’assurer que votre organisation soit capable de mettre en place et de démontrer sa conformité avec le RGPD. plus précisément avec la politique de protection des données, la procédure de signalement des violations de données. Mais également avec les formulaires et procédures de demandes d’accès des personnes concernées, les DPIA et les formulaires de consentement. La quantité de documentation dépend de la taille de l’entreprise ainsi que de la complexité de ses activités. Le PIMS doit également aborder les problématiques de sensibilisation et de formation du personnel.
9. Système de gestion de la sécurité de l’information (ISMS)
Les mesures techniques et organisationnelles appropriées sont-elles en place afin de garantir la sécurité des données personnelles? Sont-elles conservées au format papier ou électronique ou traitées via les systèmes de votre organisation? Cela doit comprendre une révision des méthodologies de test du niveau de sécurité ainsi que les certifications, normes et codes de pratiques de cyber sécurité en place.
10.Droits des personnes concernées
Votre organisation aura besoin de processus permettant de faciliter et de répondre aux personnes concernées exerçant leurs droits.