Nous appeler
Nous rejoindre

L’Audit de conformité au RGPD

De fait, L’audit de conformité au RGPD suit les principales recommandations nationales et internationales en matière d’audit, qu’il soit interne ou externe. Egalement, il suit légalement es préconisations de la Commission Nationale Informatique et Libertés (CNIL).

Obtenir un devis

La procédure applicable

Visitez le site du Comité Européen à la Protection des Données

I – Préparation de l’audit

    • Réunion de cadrage
    • Sélection des échantillons
    • Plan d’audit
    • Réunion d’ouverture
    • Organisation d’entretiens
    • Questionnaires d’audit

II – Mise en œuvre de l’audit

    • Recensement des traitements
    • Analyse des traitements
    • Rapport d’audit
    • Réunion de clôture

III – Évaluation

    • Auditeur responsable d’audit

(Source : CNIL)

CRIPP : LES FONDAMENTAUX DES NORMES D’AUDIT INTERNE  – Cadre de Référence des Pratiques de l’audit

L’Audit de conformité au RGPD : 

A partir de 750 € HT / jour (mission de 1 à 3 jours).

Nombre de jours à établir, selon les spécificités de votre activité de traitement : Structure privée, publique ou parapublique, effectif, existence d’un site internet marchand ou non. Mais aussi, nombre de traitements annuels, présence d’une activité de traitement à grande échelle. Ou encore,  présence de traitement automatisé et profilage, présence de traitement de données sensibles, transfert de données hors UE. Ou aussi,  structure multisite, ordinateurs et téléphonie mis à disposition des collaborateur, géolocalisation des voitures de service ou de fonction. Et enfin,  utilisation d’un système de vidéosurveillance du personnel, utilisation de pointeuse et portique d’accès par badge.

I- Contexte

    1. Définitions
    2. Présentation des intervenants
    3. Objectifs
    4. Périmètre
    5. Principaux interlocuteurs
    6. Documentation consultée
    7. Déroulé de l’audit
    8. Constats
    9. Objections de l’audité

II- Synthèse

III- Traitements audités

1. Liste des traitements
2. Analyse pour chacun des traitements concernés :

a- Données collectées
b- Finalités
c- Responsabilité de l’audité
d- Destinataires des données

– Limitation des accès
– Accessibilité du traitement à des prestataires externes
– Interconnexion avec d’autres fichiers
– Transfert des données hors de l’Union Européenne

e- Formalités préalables
f- Fondement légal
g- Caractère loyal et licite de la collecte

– Recueil du consentement
– Adéquation, pertinence et non-excessivité des données

h- Information des personnes
i- Respect des droits des personnes

– Droit d’accès
– Droit de  rectification
– A l’opposition
– Droit à l’effacement des données
– Droit à la portabilité
– Effectivité et délai d’exercice des droits

j- Conservation des données

– Limitation de la durée de conservation
– Adéquation de la durée de conservation
– Archivage

k- Traitements particuliers (cf. EC 36)

3. Possibilité d’anonymisation des données

IV- Constatations

V- Recommandations

Visitez le site de Cybermalveillance.gouv