18 février 2021
Lecture 3 mn
Maîtriser et auditer les risques liés au RGPD
Référentiel de contrôle et programme de travail de la réglementation européenne guide de la communauté RGPD IFACI
Formateur spécialisé notamment dans les questions liées aux données personnelles en relation avec l’audit et le contrôle interne, Patrick Soenen a animé depuis deux ans les travaux de la communauté RGPD de l’IFACI. À la clé, la publication d’un véritable guide d’aide à l’évaluation des risques et un référentiel de contrôles, face à une législation européenne parfois encore difficile à interpréter.
«Le texte de référence européen sur le Règlement Général sur la Protection des Données (RGPD) fait 265 pages et développe essentiellement des éléments politico-juridiques, » explique Patrick Soenen, « le problème, c’est qu’après l’avoir lu, on ne sait toujours pas exactement ce qu’il faut mettre en œuvre, et c’est quand même un comble ». Une difficulté liée notamment à la diversité des types d’entreprises concernées : « La question des données personnelles ne se pose pas de la même manière pour une société industrielle et pour un hôpital qui doit gérer des dossiers médicaux personnels... ». Dès lors, auditer son organisation sur la question du RGPD et mettre en place les contrôles, s’avère être un exercice complexe. Hélas, les quelques guides existants publiés ces dernières années n’ont pas permis d’y répondre de façon satisfaisante.
Quatre domaines recouvrant en tout vingt-et-un thèmes
« Les guides publiés étaient soit trop spécialistes, soit trop incomplets », confirme Patrick Soenen. L’IFACI a lancé un appel fin 2018 afin de mobiliser un groupe d’adhérents prêt à développer un programme d’audit spécifique. « L’idée de réaliser un guide est venue très rapidement, » poursuit-il, « avec pour objectif de proposer une méthodologie d’évaluation des risques, des mesures de contrôle pour les mitiger, et des éléments de réalisation de l’audit pour une efficacité opérationnelle des mesures de contrôle ».
Le travail du groupe (voir encadré) s’est d’abord basé sur les exigences du règlement européen et sa quarantaine de lignes directrices développées par le G29 (les autorités de protection des données européennes) afin de pouvoir réaliser un référentiel autour de quatre champs d’application : gouverner, organiser, exécuter, surveiller. Quatre domaines recouvrant en tout vingt-et-un thèmes, comme « organes de gouvernance, rôle et responsabilités », « droits de la personne concernée », « Revue du dispositif RGPD (par les acteurs des lignes de maîtrise) », « gestion de la sous-traitance », « analyse d’impact relative à la protection des données »...
Une approche méthodologique de l'audit du RGPD
« Dès le départ, pour notre approche méthodologique, nous avons décidé de nous aligner sur un standard international, l’ISO 31000, » explique Patrick Soenen, « un standard qui prend en compte l’établissement du contexte, l’identification du risque, l’analyse de celui-ci, son évaluation et son traitement ». Au final, le guide propose une approche méthodologique de l’audit du RGPD, en détaillant quatre « audits types » :
• Audit de mise en place du RGPD orienté risques,
• Audit de conformité RGPD,
•Audit RGPD intégré dans les programmes d’audit opérationnel,
• Audits techniques : protection de l’information, utilisation des nouvelles technologies (IA, blockchain), Privacy by design / by default...
Le guide très complet qui sera mis à disposition des adhérents prochainement propose ainsi un référentiel RGPD et une étude de cas détaillée. En parallèle, un outil Excel est en cours de finalisation, qui permettra d’identifier les risques auxquels sa propre organisation est confrontée, d’analyser lesdits risques, de mettre en place des actions de maîtrise et de fixer les bases d’un audit.
Nous espérons que le guide plaira aux adhérents et la communauté RGPD a hâte d’avoir le retour des utilisateurs !