Pour les organisations déjà familiarisées avec l’ancienne loi sur la protection des données, la conformité au RGPD est susceptible d’être plus un cas d’évolution que de partir de zéro. Cela dit, il y a plusieurs nouveaux changements à prendre en compte. Un audit RGPD complet offre un moyen efficace d’intégrer ces changements dans votre entreprise.
Établir si le RGPD s’applique à vous
La première étape de tout audit de conformité consiste à vérifier l’applicabilité de la loi à votre organisation. Notez que le RGPD s’applique uniquement aux « données personnelles ». Donc, cela ne concerne pas, par exemples : les plans d’affaires et la propriété intellectuelle. Mais il couvre des domaines tels que les données clients et les enregistrements RH. La loi s’applique aux données des citoyens de l’UE. Cela signifie que même si votre organisation est basée en dehors de l’Europe, mais que vous traitez les détails des citoyens de l’UE, vous devrez toujours vous familiariser avec la conformité RGPD. Sinon, confiez cette mission à un Spécialiste en AUDIT RGPD.
Passer en revue votre domaine de données personnelles
Cela implique d’établir quelles catégories de données personnelles vous traitez, d’où elles viennent, quel est leur but, comment elles circulent dans votre organisation et qui y ont accès. C’est la cartographie des données, une partie intégrante de tout audit RGPD.
Établir la portée de l’applicabilité: êtes-vous un contrôleur ou un processeur?
Si vous êtes un contrôleur, c’est-à-dire que vous déterminez les finalités et les moyens de traitement des données personnelles, la grande majorité des RGPD s’applique à vous. Cependant, pour les processeurs (c’est-à-dire ceux qui jouent un rôle limité selon les instructions du responsable du traitement), une portée plus limitée s’applique. Cela dit, le RGPD introduit de nouvelles obligations affectant les processeurs et des exigences spécifiques pour l’accord nécessaire entre les contrôleurs et les processeurs.
Vérification du « traitement légal » et du consentement
Vous devez avoir une «base légale» pour chaque activité de traitement de données que vous menez. Le consentement est une base applicable pour beaucoup d’entreprises, c’est-à-dire qu’il est légal pour vous de traiter des données personnelles, mais seulement dans la mesure où la personne concernée vous a donné son consentement à le faire. Si vous comptez sur le consentement, votre audit RGPD devrait vous assurer que vous avez une approbation suffisante pour chaque activité de traitement (une approbation que vous pouvez prouver). Cependant, rappelez-vous que vous devez informer les individus qu’ils peuvent retirer ce consentement s’ils le souhaitent.
Obligations de notification et de transparence
Le RGPD vous oblige à informer les personnes dont vous traitez les données. Il apporte également de nouvelles exigences sur les informations qui devraient être fournies dans les avis de confidentialité. Votre audit devrait inclure un examen des avis existants pour identifier les modifications requises. Il devrait également inclure un examen de la langue dans ces avis pour vérifier que vous communiquez avec les personnes concernées de manière claire et transparente. Vous devez impérativement agir dans le respect des droits de la personne concernée.