Face au risque de sanctions de la CNIL, une question revient fréquemment : l’obligation d’un audit RGPD est-elle inscrite dans la loi ? La réponse est nuancée : si l’exercice d’audit en lui-même n’est pas une contrainte légale stricte, les obligations de résultats imposées par le règlement, elles, le sont. Explications.
Ce qu’il faut retenir
- Il n’existe aucune obligation légale d’effectuer un audit RGPD, mais une obligation de conformité.
- L’audit RGPD est un outil pragmatique pour mesurer les écarts réglementaires et éviter les sanctions.
- Le RGPD impose des règles strictes sur l’information des personnes, le recueil du consentement et le respect des droits.
- D’autres aspects, comme la désignation d’un DPO, la réalisation d’AIPD ou encore la tenue d’un registre des traitements dépendent de critères liés à l’activité.
Une bonne visibilité des traitements est un critère indispensable pour atteindre la conformité. Confiez cette mission à un DPO externe expérimenté pour dresser un état des lieux précis, tout en maîtrisant vos ressources et en évitant le risque de conflit d’intérêt.
Quand l’obligation d’un audit RGPD s’impose-t-elle en pratique ?
L’audit de conformité RGPD n’est pas obligatoire… mais souvent indispensable
Le texte officiel du RGPD ne fait aucune mention d’une obligation d’audit RGPD formel. L’audit en lui-même n’est donc pas obligatoire pour garantir sa conformité.
L’obligation de responsabilité
S’il n’y a pas d’obligation d’audit RGPD, il convient de prendre en compte un principe fondamental du règlement : l’accountability ou principe de responsabilité (article 5.2).
Il impose au responsable du traitement d’être en mesure de prouver, à tout moment, qu’il respecte l’ensemble des règles de protection des données personnelles. Quelle que soit la taille de la structure, il existe donc une obligation de résultats.
En pratique, l’audit RGPD (voir ses étapes clés) s’impose donc comme le meilleur outil pour :
- Identifier les failles de sécurité
- Optimiser les pratiques
- Réduire les risques juridiques et financiers
- Améliorer l’image de marque
- Plus généralement, s’assurer du respect des différentes obligations imposées par le RGPD.
Les obligations imposées par le RGPD
Le respect du RGPD s’accompagne d’une obligation d’informer et de recueillir le consentement des personnes
Informer les personnes et recueillir le consentement
Il est obligatoire d’informer les personnes concernées de l’utilisation de leurs données dès leur collecte. De plus, leur consentement doit être libre, éclairé, spécifique et univoque. Enfin, l’utilisateur doit pouvoir retirer son consentement aussi simplement qu’il l’a donné.
Garantir les droits des individus
Le RGPD accorde aux citoyens le contrôle total de leurs informations numériques. Votre organisation doit être techniquement capable de répondre sous un mois aux demandes d’exercice de différents droits.
- Droit d’accès: permettre de recevoir une copie de toutes ses données.
- Droit de rectification: corriger immédiatement des informations inexactes.
- Droit d’effacement : supprimer définitivement les données (droit à l’oubli).
- Droit à la portabilité: transférer les données vers un autre prestataire.
- Droit d’opposition: arrêter instantanément un traitement (comme la prospection commerciale).
Tenir un registre des traitements
Le registre est la pièce maîtresse de votre conformité. Il recense toutes vos activités manipulant des données (RH, CRM, facturation).
- Moins de 250 salariés: le registre est obligatoire pour les traitements non occasionnels (gestion de la paie, des clients), ceux présentant un risque (géolocalisation, vidéosurveillance, par exemple) ou portant sur des données sensibles.
- 250 salariés et plus: il est obligatoire pour l’ensemble des traitements.
Assurer la sécurité des données et encadrer la sous-traitance
Des mesures de sécurité, comme l’identification, doivent être mises en place pour assurer la protection des données
Vous devez déployer des mesures techniques (chiffrement, double authentification, mots de passe robustes) et organisationnelles (sensibilisation des équipes, politiques de sécurité) adaptées aux risques.
Tout recours à un sous-traitant (hébergeur, outil SaaS) exige par ailleurs la signature d’un contrat écrit (DPA) définissant précisément l’objet, la durée, la nature du traitement, ainsi que les droits et devoirs de chaque partie.
Désigner un DPO et réaliser une AIPD
La nomination d’un DPO et la rédaction d’une Analyse d’Impact sur la Protection des Données (AIPD) deviennent obligatoires dès lors que vos traitements génèrent un risque élevé (suivi régulier et systématique à grande échelle, données sensibles, traitements de santé effectués au sein d’une structure collective).
Protéger les données transférées hors de l’UE
Si vous utilisez des outils ou des serveurs basés à l’étranger, vous transférez peut-être des données en dehors de l’UE. Le RGPD l’interdit, sauf si le pays de destination offre le même niveau de sécurité que dans l’Union Européenne. Pour rester en conformité, vous devez signer, par exemple, des clauses juridiques spécifiques approuvées par la Commission européenne (les Clauses Contractuelles Types, ou CCT)..
Questions fréquentes
À quelle fréquence réaliser un audit de conformité RGPD ?
Réaliser des audits réguliers permet de suivre et de mettre à jour sa conformité RGPD. Dans le cas général, un audit par an est recommandé.
Quelle différence entre audit RGPD et audit de cybersécurité ?
L’audit de cybersécurité se concentre sur les barrières techniques du système d’information, quand l’audit RGPD englobe une dimension juridique et informationnelle beaucoup plus large.
Une PME est-elle dispensée des obligations de conformité RGPD ?
Aucune entreprise n’est dispensée des obligations liées au RGPD. Le règlement s’applique dès le premier client ou le premier salarié, quelle que soit la taille de la structure. Un allègement concernant la tenue du registre pour les activités occasionnelles est néanmoins possible en dessous de 250 salariés.
S’il n’existe aucune obligation d’audit RGPD dans les textes, la responsabilité de prouver votre conformité à la CNIL est, elle, bien réelle. Depuis 2018, plus de 500 responsables de traitement ont choisi de s’appuyer sur l’expertise de Lexagone en nous désignant comme DPO externe ou mutualisé. Que vous souhaitiez évaluer vos risques, gérer une crise ou déléguer entièrement votre conformité, nous sommes à votre écoute.
PARLER À UN EXPERT