Maîtriser et auditer les risques liés au RGPD

Référentiel de contrôle et programme de travail de la réglementation européenne guide de la communauté RGPD IFACI

Formateur spécialisé notamment dans les questions liées aux données personnelles en relation avec l’audit et le contrôle interne, Patrick Soenen a animé depuis deux ans les travaux de la communauté RGPD de l’IFACI. À la clé, la publication d’un véritable guide d’aide à l’évaluation des risques et un référentiel de contrôles, face à une législation européenne parfois encore difficile à interpréter.

«Le texte de référence européen sur le Règlement Général sur la Protection des Données (RGPD) fait 265 pages et développe essentiellement des éléments politico-juridiques, » explique Patrick Soenen, « le problème, c’est qu’après l’avoir lu, on ne sait toujours pas exactement ce qu’il faut mettre en œuvre, et c’est quand même un comble ». Une difficulté liée notamment à la diversité des types d’entreprises concernées : « La question des données personnelles ne se pose pas de la même manière pour une société industrielle et pour un hôpital qui doit gérer des dossiers médicaux personnels... ». Dès lors, auditer son organisation sur la question du RGPD et mettre en place les contrôles, s’avère être un exercice complexe. Hélas, les quelques guides existants publiés ces dernières années n’ont pas permis d’y répondre de façon satisfaisante.

Quatre domaines recouvrant en tout vingt-et-un thèmes

« Les guides publiés étaient soit trop spécialistes, soit trop incomplets », confirme Patrick Soenen. L’IFACI a lancé un appel fin 2018 afin de mobiliser un groupe d’adhérents prêt à développer un programme d’audit spécifique. « L’idée de réaliser un guide est venue très rapidement, » poursuit-il, « avec pour objectif de proposer une méthodologie d’évaluation des risques, des mesures de contrôle pour les mitiger, et des éléments de réalisation de l’audit pour une efficacité opérationnelle des mesures de contrôle ».

Le travail du groupe (voir encadré) s’est d’abord basé sur les exigences du règlement européen et sa quarantaine de lignes directrices développées par le G29 (les autorités de protection des données européennes) afin de pouvoir réaliser un référentiel autour de quatre champs d’application : gouverner, organiser, exécuter, surveiller. Quatre domaines recouvrant en tout vingt-et-un thèmes, comme « organes de gouvernance, rôle et responsabilités », « droits de la personne concernée », « Revue du dispositif RGPD (par les acteurs des lignes de maîtrise) », « gestion de la sous-traitance », « analyse d’impact relative à la protection des données »...

Une approche méthodologique de l'audit du RGPD

« Dès le départ, pour notre approche méthodologique, nous avons décidé de nous aligner sur un standard international, l’ISO 31000, » explique Patrick Soenen, « un standard qui prend en compte l’établissement du contexte, l’identification du risque, l’analyse de celui-ci, son évaluation et son traitement ». Au final, le guide propose une approche méthodologique de l’audit du RGPD, en détaillant quatre « audits types » :

• Audit de mise en place du RGPD orienté risques,
• Audit de conformité RGPD,
•Audit RGPD intégré dans les programmes d’audit opérationnel,
• Audits techniques : protection de l’information, utilisation des nouvelles technologies (IA, blockchain), Privacy by design / by default...

Le guide très complet qui sera mis à disposition des adhérents prochainement propose ainsi un référentiel RGPD et une étude de cas détaillée. En parallèle, un outil Excel est en cours de finalisation, qui permettra d’identifier les risques auxquels sa propre organisation est confrontée, d’analyser lesdits risques, de mettre en place des actions de maîtrise et de fixer les bases d’un audit.

Nous espérons que le guide plaira aux adhérents et la communauté RGPD a hâte d’avoir le retour des utilisateurs !