Depuis l’entrée en vigueur du nouveau règlement général sur la protection des données le 12 mai 2018, les entreprises sont tenues de prendre différentes mesures garantissant la sécurité et la confidentialité des données qu’elles traitent de tiers, faute de quoi elles pourraient subir d’importantes sanctions économiques pouvant atteindre 20 millions d’euros. L’audit de la protection des données est-il l’une de ces mesures?
Qu’est-ce qu’un audit de protection des données et à quoi sert-il?
Un audit de protection des données vise à vérifier que toutes les mesures nécessaires pour assurer la sécurité des données dans une entreprise ont été mises enœuvre de la bonne manière.
L’audit est accompagné d’un rapport reprenant tous les points analysés,les erreurs ou défaillances constatées ainsi que les mesures nécessaires à mettre en œuvre pour corriger les erreurs éventuelles.
Il joue un rôle essentiel en ce qui concerne la surveillance et le contrôle des informations à caractère personnel stockées et il faut donc lui accorder l’importance qu’elles méritent.
Intéressé par:
Les clés du nouveau règlement général sur la protection des données.
Audit de protection des données: votre entreprise est-elle tenue de le faire?
Un audit de protection des données est toujours recommandé pour certifier que la stratégie mise en œuvre est correcte mais qu’elle est obligatoire ou non? La réponse est dépend.
Avec le décret royal 994/1999 du 11 juin, les entreprises étaient tenues de procéder à un audit de sécurité des données une fois tous les deux ans, que ce soit à l’interne ou à l’extérieur.
Avec la réglementation précédente, les audits de protection des données étaient une obligation pour toutes les entreprises, avec l’entrée en vigueur du nouveau RGPD, les entreprises ne sont plus tenues de les effectuer.
Conformément au RGPD, votre entreprise est tenue de désigner un délégué à la protection des données (DPD), dont l’objectif principal sera de contrôler le respect de la réglementation, en révisant les politiques internes et les audits correspondants, la réalisation d’audits internes de protection des données, révision et évaluation; toujours en fonction des besoins de chaque entreprise.
Dans ce cas, l’audit ne devrait pas être effectué par le DPD de l’entreprise elle-même,car la fonction de l’audit de sécurité des données est, entre autres, de s’assurer que le délégué à la protection des données s’exécute correctement. Elle ne pourrait se limiter qu’à surveiller le processus d’audit et à assurer la mise en œuvre des actions promues.
En quoi consiste un audit de protection des données?
Un audit de protection des données doit satisfaire à un certain nombre d’exigences certifiant la sécurité de toute donnée ou information à caractère personnel:
- L’audit doit analyser à la fois les fichiers automatisés et les manuels.
- Les entreprises tenues de le faire doivent le faire une fois tous les deux ans.
- Si des modifications du système d’information sont apportées qui sont susceptibles d’affecter le respect des mesures de sécurité, un audit doit être effectué de manière extraordinaire.
- Il doit détailler toutes les lacunes possibles détectées et les mesures à prendre pour les résoudre.
- Le DPP ou responsable des données à caractère personnel est chargé de veiller à ce que les corrections indiquées dans le rapport soient appliquées.
Intéressé par:
C’est l’entreprise elle-même qui peut décider de la manière dont elle souhaite effectuer les audits, pourautant qu’elle soit effectuée de manière objective et impartiale, pour vérifier que les mesures de sécurité nécessaires à la protection des données sont respectées.
L’audit de protection des données doit être effectué par un processus systématique,au moyen d’une série de procédures et de protocoles d’action, permettant d’obtenir les données nécessaires à l’élaboration du rapport final.
Vérification externe
Si un audit externe est opté, il devra être effectué par un professionnel qui n’a aucun lien avec l’entreprise à auditer,en utilisant des techniques et des procédures pour la révision des méthodes utilisées pour assurer la sécurité des données confidentielles traitées par les entreprises.
Vérification interne
L’audit interne, celui-ci devra être effectué par un professionnel spécialisé dans le nouveau règlement général sur la protection des données, et ils sont suffisants avec des services informatiques et juridiques pour vérifier si les méthodes de contrôle de sécurité établies par l’entreprise sont adéquates et conformes à la légalité.
Conclusion
Les entreprises qui traitent des données à caractère personnel ne sont pas tenues de procéder à un audit de protection des données, mais elles peuvent le faire sur une base volontaire afin d’éviter d’éventuelles sanctions et d’assurer ainsi l’efficacité des mesures mises en place dans leurs activités.
