Pour de nombreuses organisations, l\u2019impl\u00e9mentation des nouvelles r\u00e8gles de confidentialit\u00e9, le RGPD, s\u2019est faite au prix d\u2019un s\u00e9rieux effort. Mais le travail ne s\u2019arr\u00eate pas l\u00e0. Elles devront continuer \u00e0 surveiller le respect de ces r\u00e8gles dans le futur. Des audits p\u00e9riodiques constituent l\u2019outil par excellence pour surveiller la conformit\u00e9 avec le RGPD. Il y a par cons\u00e9quent dans le domaine du RGPD une demande croissante d\u2019audits, \u00e9manant souvent de la direction ou du comit\u00e9 d\u2019audit.<\/p>\n
L\u2019obligation de surveiller le niveau de respect du RGPD n\u2019est d\u2019ailleurs pas facultative. La l\u00e9gislation impose d\u2019\u00e9valuer le niveau de protection des donn\u00e9es et, le cas \u00e9ch\u00e9ant, de l\u2019actualiser (voir article 24, alin\u00e9a 1). L\u2019organisation doit \u00e0 cet \u00e9gard v\u00e9rifier si les mesures qui ont \u00e9t\u00e9 prises pour prot\u00e9ger les donn\u00e9es \u00e0 caract\u00e8re personnel, sont suffisantes. En effet, les techniques permettant de prot\u00e9ger les donn\u00e9es \u00e9voluent, tout comme les techniques visant \u00e0 contourner ces syst\u00e8mes de protection. La quantit\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel dont on dispose et ce que l\u2019on en fait pr\u00e9cis\u00e9ment n\u2019est pas non plus une constante dans une entreprise. Des \u00e9valuations p\u00e9riodiques font en sorte que tous les traitements de donn\u00e9es \u00e0 caract\u00e8re personnel se d\u00e9roulent toujours conform\u00e9ment aux dispositions l\u00e9gales.<\/p>\n
De surcro\u00eet, lorsqu\u2019une organisation confie en tout ou en partie le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 une partie externe, celle-ci doit elle aussi \u00eatre soumise \u00e0 de telles \u00e9valuations. Le droit d\u2019exercer un audit doit d\u00e8s lors \u00eatre repris dans des contrats, appel\u00e9s contrats de sous-traitance. Il est indiqu\u00e9, le cas \u00e9ch\u00e9ant, de contr\u00f4ler le respect du niveau de protection des donn\u00e9es convenu. Dans ces cas, la r\u00e9alisation d’un tel audit est la m\u00e9thode toute indiqu\u00e9e.<\/p>\n
On peut donc affirmer que les entreprises ayant impl\u00e9ment\u00e9 le RGPD devront ensuite se concentrer sur le contr\u00f4le et l\u2019adaptation, ce qui demande un s\u00e9rieux effort et un investissement financier permanent. Il est d\u00e8s lors logique que les entreprises souhaitent valoriser leurs efforts, en apposant par exemple des labels d\u00e9montrant qu\u2019elles ont impl\u00e9ment\u00e9 le RGPD avec succ\u00e8s et qu\u2019elles sont m\u00eame certifi\u00e9es.<\/p>\n
Bien que ces labels et certificats soient bel et bien une preuve de ces efforts, ils ne donnent aucune garantie quant \u00e0 un traitement toujours correct des donn\u00e9es \u00e0 caract\u00e8re personnel. D\u2019un autre c\u00f4t\u00e9, ils instaurent une certaine forme de confiance pour les clients et les citoyens, surtout si ces certificats sont accord\u00e9s apr\u00e8s un examen approfondi et sur la base d\u2019une norme reconnue par le march\u00e9. Ces normes trouvent lentement mais s\u00fbrement le chemin du march\u00e9, comme par exemple la norme BS 10012 et la norme ISO 27701.<\/p>\n
Outre la certification d\u2019organisations, il est \u00e9galement possible de soumettre des produits ou services \u00e0 un screening. Cette possibilit\u00e9 figure d\u2019ailleurs explicitement dans le RGPD (voir articles 42 et 43), contrairement \u00e0 la certification d\u2019organisations. Le march\u00e9 est encore tr\u00e8s jeune et inexploit\u00e9 \u00e0 cet \u00e9gard, mais il y a, conjointement avec l\u2019intention de l\u2019Europe d’\u0153uvrer \u00e0 la certification en mati\u00e8re de cybers\u00e9curit\u00e9, encore beaucoup de potentiel ici.<\/p>\n
Chez DPI, nous avons compris que la r\u00e9alisation d\u2019audits RGPD, tant pour l\u2019\u00e9valuation d\u2019organisations que pour le screening de produits et services, constitue une partie importante des activit\u00e9s dans ce domaine. Nous sommes \u00e9galement conscients du fait que tous les sp\u00e9cialistes RGPD ne sont pas des experts en ce qui concerne la r\u00e9alisation d\u2019audits. C\u2019est la raison pour laquelle nous nous sommes activement pench\u00e9s, ces 18 derniers mois, sur le d\u00e9veloppement d\u2019une formation sur mesure pour tous ceux qui veulent ma\u00eetriser les techniques de base utilis\u00e9es par un auditeur RGPD. Si vous \u00eates int\u00e9ress\u00e9(e), n\u2019h\u00e9sitez pas \u00e0 contacter l\u2019un de nos coaches ou \u00e0 vous inscrire via le site web<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Pour de nombreuses organisations, l\u2019impl\u00e9mentation des nouvelles r\u00e8gles de confidentialit\u00e9, le RGPD, s\u2019est faite au prix d\u2019un s\u00e9rieux effort. Mais le travail ne s\u2019arr\u00eate pas l\u00e0. Elles devront continuer \u00e0 surveiller le respect de ces r\u00e8gles dans le futur. Des audits p\u00e9riodiques constituent l\u2019outil par excellence pour surveiller la conformit\u00e9 avec le RGPD. Il y […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2879","post","type-post","status-publish","format-standard","hentry","category-tout"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/2879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=2879"}],"version-history":[{"count":1,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/2879\/revisions"}],"predecessor-version":[{"id":8249,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/2879\/revisions\/8249"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=2879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=2879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=2879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}