L’audit RGPD, première étape pour sécuriser la gestion des données

Depuis l’entrée en vigueur du RGPD, de nombreuses entreprises ont mis en place des mesures concernant le traitement des données personnelles qu’elles collectent. Mais est-ce suffisant au regard de la loi et des enjeux de sécurité informatique actuels ?

La réglementation RGPD est l’une des activités principales du cabinet LLC AVOCAT, qui mène régulièrement des missions d’audit et d’accompagnement auprès de structures artisanales, industrielles, de services, qu’elles emploient quelques salariés ou plusieurs centaines. En effet, le règlement général de protection des données (RGPD) a la particularité de s’appliquer à toutes les entités professionnelles, quels que soient leur taille et leur secteur d’activité, ainsi qu’à leurs parties prenantes, ce dernier point étant bien souvent méconnu.

Comment savoir si vos process et systèmes sont conformes aux critères demandés ? Pour répondre à cette interrogation, l’audit RGPD est un préalable indispensable. Il se déroule en plusieurs étapes.

Diagnostiquer toutes les installations, numériques et physiques

« Lors du premier rendez-vous, nous nous déplaçons toujours sur site, explique Me Lesturgeon-Cayla, avocate experte sur les sujets numériques. Le RGPD concerne bien sûr les systèmes informatiques, mais aussi la sécurité générale physique des bâtiments, sans oublier le fonctionnement pratique de l’entreprise. Nous devons donc nous assurer du fonctionnement réel de la structure, en visitant les locaux et en rencontrant les dirigeants ainsi que les responsables opérationnels. »

Lors de cette phase d’analyse, le cabinet LLC AVOCAT procède à une cartographie complète concernant la collecte des données, service par service :

·         Quels types de data sont recueillis, pour quelle finalité ?

·         Existe-t-il une charte informatique ; si oui, quel est son contenu ?

·         Y a-t-il des signatures et autorisations d’accès ?

·         L’entreprise a-t-elle fixé des exigences vis-à-vis de ses prestataires et sous-traitants ?

·         Quelles procédures spécifiques au RGPD ont-elles été mises en place : archivage des data, traitement prévu en cas de départ d’un salarié ou lors d’un recrutement… ?

Analyser la sécurité déployée autour des data

Le cabinet LLC AVOCAT étudie ensuite tous les aspects relatifs à la protection des données dans l’entreprise tant au niveau de l’organisation du système informatique déployé qu’au niveau des interactions humaines.

« Nous ne sommes pas des spécialistes de la sécurité des systèmes informatiques, précise Me Lesturgeon-Cayla, mais notre intervention consiste à passer en revue l’existant, puis de le comparer aux normes et nomenclatures fournies notamment par l’ANSSI » :

·         Architecture des réseaux informatiques, des serveurs, recours à un cloud,

·         Présence d’un gestionnaire SI en interne ou d’un prestataire externe,

·         Sécurité des postes de travail : verrouillage des ordinateurs, gestion des mots de passe, connexions chiffrées, surveillance et accès des locaux… Une faille régulièrement constatée, et facilement réparable, vient de l’emploi de mots de passe trop faibles ou d’espaces clients non sécurisés.

Dans le cadre de l’audit, le cabinet effectue également une veille sur les matériels et logiciels utilisés. S’ils ont fait l’objet de failles critiques relevées récemment, le cabinet LLC AVOCAT se doit d’avertir sur un risque potentiel pouvant générer une fuite des données.

Par ailleurs, en matière de sécurité, les menaces proviennent souvent d’interactions humaines, comme l’ouverture d’un mail frauduleux par un salarié. Les hackers s’engouffrent alors dans la faille pour pirater les systèmes informatiques. Afin de repérer les risques et alerter, le cabinet LLC AVOCAT procède à l’établissement d’un audit des risques basé sur la méthode EBIOS. Le cabinet propose également aux équipes des interventions destinées à sensibiliser au RGPD, à la cybersécurité et à la confidentialité des données.

Rédiger des préconisations de conformité RGPD

À l’issue de cette analyse, le cabinet LLC AVOCAT formulent un ensemble de préconisations, permettant d’apporter des actions correctives face aux dysfonctionnements ou aux insuffisances constatées. Cet encadrement juridique est rassurant pour l’entreprise qui peut alors prendre les mesures requises concernant le traitement des données personnelles. Elle peut aussi déléguer cette fonction en faisant appel à un DPO externalisé. Celui-ci assurera le suivi de la mise en conformité RGPD et son maintien sur le long terme. 

Chaque audit est réalisé de façon personnalisée en fonction de chaque situation permettant au cabinet LLC AVOCAT d’établir toute la documentation nécessaire à la conformité formelle de l’entreprise. Tout audit mené par le cabinet inspecte également le cadre législatif et réglementaire dans lequel s’inscrit l’activité de la structure afin d’apporter une analyse complète de la conformité.