Le Règlement général concernant la protection des données (RGPD) a été instauré à la date du 25 mai 2018. Cette loi encadre les traitements des données personnelles dans le domaine des entreprises ainsi que les utilisateurs. C’est une politique commune adoptée dans les pays de l’Union européenne. Les sociétés doivent respecter ce règlement, mais est-ce qu’elle est aussi obligée de faire l’audit RGPD pour une raison de conformité ?
Les règles strictes du RGPD
L’article du RGPD décrète des règlements très stricts, qui obligent certaines entreprises à effectuer un audit RGPD. Le responsable de la mission du traitement des données doit bien respecter cette mesure de collaborer avec l’autorité de contrôle. Il faut installer un registre concernant les activités de traitement, car il détaille toutes les opérations nécessaires :
- Le caractère de données réalisées ;
- La finition du traitement ;
- Les parties concernées ;
- La durée et la date de conservation des données.
Il est essentiel également d’analyser l’impact du traitement de données pour éviter certains risques. Le registre des activités du traitement est adouci pour les sociétés qui emploient 250 salariés maximum. Apparemment, les traitements non occasionnels peuvent produire un risque sur les libertés et le droit des personnes ainsi que les traitements des données sensibles comme : les caractères religieux, l’orientation sexuelle, l’appartenance à un syndicat… qui doivent être mentionnés dans le registre. La commission nationale sur l’informatique et des libertés surveille les entreprises via une application spéciale de ce règlement. En cas de non-respect de la loi, le prix des sanctions peut varier à 20 millions d’euros.
Comment se fonctionne un audit RGPD ?
La procédure de l’audit RGPD se déroule autour des quelques points clés essentielles pour garantir les normes du règlement :
- L'identification des traitements de données ;
- Analyse du consentement des personnes et des données recueillies pour satisfaire un contrat ;
- Vérification de l’inscription des données au sein du registre ;
- Le respect de la durée de conservation en harmonie avec les fins des recherches ;
- La garantie du droit à l’effacement et à l’oubli ;
- L’identification des mesures prises pour assurer la sécurité de l’enregistrement des données ;
- La vérification de la désignation de la personne, qui occupe la protection des données opérées ;
- Établir un document pour justifier la norme de la structure du RGPD.
Pourquoi l’audit RGPD est-il vraiment obligatoire ?
Les avocats réalisent l’audit RGPD, le coût varie entre 1000 € et 5000 € en fonction du type de la structure. Il est obligatoire d’avoir un registre de traitement dans les situations suivantes :
- Si une entreprise compte plus de 250 employés ;
- Si le traitement de données personnelles est sensible ou non occasionnel ;
- Si le traitement comporte un risque de violation des libertés et des droits individuels des personnes ;
- Si le traitement est proportionnel à des infractions et des condamnations pénales.