RGPD : Point d’attention pour les comités d’audit sur la protection des données personnelles

Règlement européen sur la protection des données personnelles (GDPR Règlement (UE) 2016/679 du 27 avril 2016)

  • Applicable à partir du 25 mai 2018
  • Fixe les règles en matière de données personnelles à respecter par les organisations dans les pays membres de l’UE et celles hors UE offrant des services à des résidants européens
  • Conforte les droits des individus en :

– renforçant les obligations avant collecte de données (information, consentement)
– passage d’un système déclaratif à un système « d’accountability » : la conformité au règlement doit être « démontrable » par les organisations
– obligation de mettre en place un registre des traitements
– mesure de l’impact sur la vie privée, notamment en cas de faille du système
– co-solidarité avec les sous-traitants
– droit à la portabilité et droit à l’oubli

  • Alourdit les sanctions : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial
  • Chantier très important pour les organisations du fait :

– des nouveautés de la réglementation

– des lacunes très fréquentes dans le respect de la réglementation antérieure (Loi Informatique et Liberté

Quels points d’attention pour les comités d’audit ?

  • Nomination d’un Délégué à la Protection des données (DPO)
  • Organisation et rattachement du DPO
  • Processus d’identification des données sensibles
  • Recensement des données traitées dans le cadre de contrat de sous-traitance
  • Recensement des traitements de données
  • Analyse des risques sur les traitements de données significatifs

Pour aller plus loin :