Le contrôle interne, notamment dans les grandes entreprises, cherche à se doter d’indicateurs fiables pour évaluer la conformité réglementaire. C’est également vrai pour le RGPD, où le formalisme apparent (registre, procédure, mention, etc.) ne garantit pas, à lui seul, une réelle conformité. Nous vous proposons ici une sélection d’indicateurs utiles.
Le rôle du contrôle interne en matière de conformité RGPD
Le contrôle interne vise à s’assurer que les processus de l’organisation fonctionnent efficacement, conformément aux objectifs fixés, aux lois et règlements, et aux politiques internes. Le contrôle interne n’a donc pas vocation à mettre en conformité l’organisme au RGPD, mais à opérer des audits et relever les situations de non-conformité ou risquant de porter préjudice aux activités de l’organisme.
Concernant le RGPD, le contrôle interne va devoir :
- évaluer l’existence, l’application et l’efficacité des mesures mises en oeuvre pour respecter le RGPD ;
- détecter les zones de non-conformité ou de risque ;
- remonter des recommandations correctives.
Les indicateurs constitueront des levers essentiels pour mener ces missions, tant que les contrôleurs et le DPO / le service RGPD ne tombent pas dans le piège de l’effet Cobra.
Les indicateurs clés de la conformité RGPD
Datanaos vous propose gratuitement une partie des indicateurs importants pour vérifier la conformité d’un organisme au RGPD, regroupés par thématiques.
Gouvernance de la protection des données
Les indicateurs de gouvernenance de la protection des données ont pour objectif de vérifier que l’organisation a mis en place les fondamentaux du pilotage RGPD :
- L’organisme dispose t-il d’un Délégué à la Protection des Données (DPO) désigné ?
>> Il convient de vérifier si la désignation d’un DPO est obligatoire.
>> Le DPO doit être officiellement désigné auprès de la Commission Nationale Informatique et Libertés. Il ne s’agit, sinon, « que » d’un référent RGPD interne.
>> Il convient aussi de vérifier que le DPO désigné dispose des connaissances ou des compétences nécessaires pour exercer ses missions.
- Un registre des traitements existe-t-il ?
>> Si le registre des traitements existe, il faut vérifier que son contenu répond à l’article 30 du RGPD.
>> Il est pertinent de se doter d’indicateurs complémentaires (taux de mise à jour du registre, nombre de revues périodiques par an, …).
- Une veille juridique et réglementaire est-elle mise en oeuvre ?
>> Il s’agit de vérifier les méthodes utilisées pour réaliser la veille juridique et réglementaire.
>> Il s’agit de vérifier la fréquence des activités de veille réalisées.
>> Il s’agit de vérifier, le cas échéant, leur pertinence (au regard du secteur d’activité de l’organisme, par exemple).
Droit des personnes concernées
Il va s’agir, au travers de ces indicateurs, de s’assurer que l’organisme respecte les droits des personnes concernées. Il faut mesurer l’effectivité des droits des personnes :
- L’organisme met-il à disposition des canaux dédiés aux personnes concernées ?
>> La CNIL demande à ce qu’au moins deux canaux différents soient prévus pour les personnes concernées.
>> Ces canaux doivent être faciles ou logiques d’accès.
>> Ces canaux doivent être fréquemment consultés par le DPO et son équipe.
- Les délais de réponse aux demandes de droit sont-ils conformes ?
>> Les réponses sont-elles toutes envoyées dans les 30 jours suivant la demande ?
>> Lorsqu’une réponse tardive est réalisée, la personne concernée en avait-elle été prévenue au préalable ?
>> Le DPO ou les personnes en charge de la gestion de réponses ou de leur envoi disposent-elles de moyens appropriés pour suivre les délais ?
- Existe-t-il d’un registre des demandes d’exercice de droit ?
>> L’organisme est-il capable de tracer les demandes reçues et répondues ?
>> Les informations conservées dans ce registre ne sont-elles pas trop importantes ?
Gestion des violations de données
Ces indicateurs permettent de contrôler la capacité de l’organisation à réagir efficacement en cas d’incident :
- Un registre interne des violations est-il tenu ?
>> Il faut s’assurer que ce registre contienne au moins les informations obligatoires prévues par l’article 33 du RGPD.
>> Sous quels délais, lors de la survenance d’une violation de données, ce registre est-il mis à jour ?
- Une procédure de traitement des violations de données existe-t-elle ?
>> La procédure indique t-elle les critères permettant de qualifier un incident de sécurité en violation de données ?
>> La procédure indique t-elle les exceptions pour lesquelles l’organisme ne réalise pas de notification à la CNIL, ou n’informe pas les personnes concernées de la violation ?
>> La procédure prévoit-elle les canaux de communication possibles et les critères de sélection du canal pertinent, en cas de décision de notification de la violation de données auprès des personnes concernées ?
Sécurité et confidentialité
La sécurité des données est un pillier du RGPD. Des indicateurs techniques et organisationnels peuvent être mobilisés :
- Est-il possible de vérifier que les exigences minimales de la CNIL en matière de sécurité sont respectées ?
- Les collaborateurs ont-ils tous signés une clause de confidentialité ?
- Une charte informatique contraignante est-elle en place, connue, et signée par tous ?
- De la documentation de sécurité est-elle tenue au sein de l’organisme (PSSI, PCA, PRA, plans de sauvegarde, …) ?
Et bien d’autres…
Il ne s’agit, bien sûr, que des indicateurs les plus communs. Bien d’autres doivent être vérifiés afin de s’assurer de la conformité complète d’un organisme, ou de ses process, au RGPD : respect du principe des durées de conservation, interventions du DPO, analyses de protection des données dès la conception réalisées durant l’année, sensibilisation des collaborateurs, …
_____________________________________
Vous souhaitez en apprendre plus sur les indicateurs de conformité possibles ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche.