Audit RGPD

Audit des traitements de données

cache_2924068

Nous pouvons effectuer l’audit de votre site web, un audit sommaire ou un audit complet de vos traitements de données, avant de vous suggérer les mesures à prendre afin de vous mettre en parfaite conformité avec la législation et la réglementation.

L’audit informatique et libertés, qui suppose en principe un déplacement dans les locaux de l’organisme, peut être effectué à plusieurs niveaux :

  1. L’audit d’un site web permet notamment de vérifier la conformité :
    1. des modalités d’implantation des cookies et du consentement à leur implantation,
    2. des modalités de la collecte des données lors de l’inscription ou de l’abonnement à une lettre d’information,
    3. de la politique des données à caractère personnel,
    4. plus généralement, de la documentation contractuelle et d’information en ligne,
    5. des principales mesures destinés à garantir la sécurité des données (référentiels et recommandations CNIL et ANSSI).

  2. L’audit sommaire permet de faire un bilan de l’existant, à savoir :
    1. une description utile de la structure, de l’organisation, des spécificités de l’entreprise et des pratiques (notamment accès au SI),
    2. un bilan des fondements légaux des traitements (recueils des consentements, etc.),
    3. un recensement des traitements de données à caractère personnel et détaillant leur régime (dispense, norme simplifiée, déclaration normale, demande d’autorisation),
    4. un inventaire de la documentation contractuelle et d’information relative aux données à caractère personnel,
    5. un bilan rapide de la sécurité des données à caractère personnel (PSSI, garanties offertes par les prestataires, etc.),
    6. de lister les écarts de conformité,
    7. de faire des recommandations en vue de la mise en conformité par rapport au RGPD.

  3. L’audit approfondi comprend également :
    1. une analyse approndie des documents relatifs aux données à caractère personnel (charte informatique, politique des données personnelles, PSSI, contrats avec les sous-traitants, etc.),
    2. une analyse d’impact des traitements mis en oeuvre,
    3. une analyse, le cas échéant, des transferts hors UE,
    4. une analyse, le cas échéant, des mailings de l’entreprise (validité des fichiers, mentions, etc.),
    5. une analyse, sur les plans technique et organisationnel, de la sécurité des données à caractère personnel (avec un partenaire : eBios, ISO 27000 et s., pen tests, etc.).
    6. un plan de mise en conformité conforme au RGPD.