MAÎTRISER ET AUDITER LES RISQUES LIÉS AU RGPD

Référentiel de contrôle et programme de travail de la réglementation européenne

Cette production est le fruit des réflexions menées dans le cadre du groupe de travail de l’audit du RGPD lancé en mai 2019. L’objectif du projet est d’appliquer la démarche d’audit au sujet que représente le RGPD et de fournir à la communauté des auditeurs un guide pratique d’audit qui permette à son utilisateur de déterminer son référentiel d’audit (définition d’un cadre de référence, analyse préliminaire des risques, identification des actions de maitrise et des points de contrôles).

Les échanges au sein du groupe de travail furent riches et variés tant sur le plan méthodologique que sur le plan pratique. La complémentarité des différents profils composant le groupe de travail (auditeurs, contrôleurs internes, gestionnaires des risques, juristes, délégués à la protection des données) a permis d’enrichir la publication de différents points de vue et particulièrement d’aboutir à la production de livrables qui seront utiles à tous les acteurs qui participent à la maîtrise des risques liés au traitement des données à caractère personnel d’une organisation. 

En termes de livrables, ce guide présente un référentiel pour la mise en conformité au dispositif RGPD, une démarche d’analyse des risques assez détaillée permettant une appréciation selon les exigences règlementaires (règlement, lignes directrices, jurisprudence), des actions de maîtrise, une méthode d’auto-évaluation ainsi que des conseils et orientations pour effectuer les travaux d’audit.

Ces informations sont également utiles pour les autres lignes de maîtrise liées au RGPD. L’auditeur peut construire son programme de travail sur base de la détermination des risques et des points de contrôles décrits dans le référentiel, afin de mener à bien les objectifs d’audit définis. Le contrôleur interne peut effectuer une cartographie des risques et un plan de contrôles associé. Le Délégué à la Protection des Données peut, quant à lui, effectuer une analyse de sa démarche (cartographie et plan de contrôle).

Il a également la possibilité d’effectuer une auto-évaluation de son dispositif et de suivre son évolution dans le temps tout en étant en mesure de faire rapport sur le taux de conformité du dispositif. Enfin, ce guide mentionne – à titre informatif - références, directives, normes et bonnes pratiques qui permettront d’approfondir les travaux.