Nous réalisons des missions d’audits afin d’évaluer le niveau de conformité de votre entité.

securite

Sur la base des travaux déjà menés au sein de votre entité, nous évoluons les écarts de conformité avec les réglementations applicables en matière de protection des données. Par la suite, ces missions d’audit, réalisées sur place (sur la base d’interviews avec les personnels concernés) ainsi que sur la base de ressources documentaires. Tout cela en somme, donnent lieu à la rédaction de rapports pragmatiques de mise en conformité. En consequence permettant de prioriser les actions à mener.

Un audit permet d’évaluer si votre entreprise ou organisation est conforme ou non à ces obligations

  1. Gouvernance de protection des données 
    Dans quelles mesures la responsabilité, les politiques et les procédures de protection des données, aussi que les contrôles de mesure de performance et les mécanismes de signalement ont-ils été mis en place? Fonctionnent-ils au sein de votre organisation?
  2. Gestion des risques
    Les risques liés à la vie privée sont-ils compris dans votre registre des risques d’entreprise? Quels arrangements ont-été mis en place en termes de gestion des risques liés à la vie privée au sein de votre organisation? Dans quelles mesures le régime des risques d’entreprise comprend-il les risques liés à des informations précises? Quels risques liés aux droits et libertés des personnes sont abordés?
  3. Projet RGPD
    Dans quelles mesures un projet RGPD mis en place avec le personnel, les ressources et le support appropriés peut-il fournir des résultats réalistes?
  4. Délégué à la protection des données (DPD)
    La nomination d’un DPD est-elle obligatoire? Un DPD a-t-il été nommé? Le rôle est-il positionné de manière adéquate? La personne nommée peut-elle fournir les résultats nécessaires face aux exigences du RGPD?
  5. Rôles and responsabilités
    Dans quelles mesures les rôles et responsabilités sont-ils définis et mis en place au sein de votre organisation, y compris les formations et séminaires de sensibilisation nécessaires?
  6. Champ d’application
    En tant que responsable du traitement ou de sous-traitant, il est essentiel de bien définir le champ d’application en prenant en compte tous les traitements de données auxquels, ainsi que toutes les activités de partage des données.

    Vous devez également identifier toutes les bases de données contenant des données personnelles afin de déterminer le champ d’application ainsi que les traitements extraterritoriaux/transfrontaliers.

  7. Analyse des processus
    Pour chaque traitement impliquant des données personnelles il est essentiel d’identifier la mesure dans laquelle les principes de traitement des données sont mis en place. La base légitime permettant le traitement des données est un élément clé de conformité avec le RGPD. Existe-t-il des processus pour lesquels l’Analyse d’Impact sur la Protection des Données (DPIA) est obligatoire? Pour quel processus une DPIA peut-elle aider à mettre en place le principe de protection des données dès la conception et par défaut?
  8. Système de gestion des données personnelles (PIMS)
    De nombreux documents sont nécessaires afin d’assurer que votre organisation soit capable de mettre en place et de démontrer sa conformité avec le RGPD. Et plus précisément avec la politique de protection des données, la procédure de signalement des violations de données, aussi avec les formulaires et procédures de demandes d’accès des personnes concernées, les DPIA et les formulaires de consentement. La quantité de documentations dépend de la taille de l’entreprise ainsi que de la complexité de ses activités. Le PIMS doit également aborder les problématiques de sensibilisation et de formation du personnel.
  9. Système de gestion de la sécurité de l’information (ISMS)
    Les mesures techniques et organisationnelles appropriées sont-elles en place afin de garantir la sécurité des données personnelles conservées au format papier ou électronique ou traitées via les systèmes de votre organisation? Cela doit comprendre une révision des méthodologies de test du niveau de sécurité ainsi que les certifications, normes et codes de pratiques de cyber sécurité en place.
  10. Droits des personnes concernées
    Votre organisation aura besoin de processus permettant de faciliter et de répondre aux personnes concernées exerçant leurs droits, y compris le droit d’accès.