Avec la mise en application du Règlement Général sur la Protection des Données ou RGPD, les entités qui ont à recueillir et à traiter les données, sont soumises à des exigences précises. Ces dernières auront tout naturellement un but : la sécurité des bases de données. Pour ce, plusieurs points sont soulevés et des dispositifs mis en place, si ce n’est que pour citer le DPO et l’audit. Si la première concerne la nomination d’un professionnel chargé de veiller à la bonne application de la loi, l’audit, est lui, un outil qui permettra de vérifier le respect de la règlementation. Aussi important l’un que l’autre, chacun a ses spécificités. Pour ce qui est de l’audit en particulier, quelques éléments sont à retenir.
Qu’est-ce que l’audit ?
L'audit est une action par laquelle une institution agréée procède à la vérification des opérations (en rapport avec les informations personnelles) d'une entreprise. En d'autres termes, les contrôles d'audit liés à la cybersécurité servent à établir si oui ou non, une société respecte les règles liées à la sécurité des bases de données. A cet effet :
- La question de l’accès aux données sera abordée : l’auditeur s’assurera que seules les personnes habilitées peuvent se servir des informations collectées ;
- Les informations relatives à la progression de l’audit seront transmises au fur et à mesure où il avance ;
- L’audit se posera sur des points techniques et juridiques ;
- Une procédure sera établie et suivie afin de baliser les opérations à entreprendre lors de l’audit ;
- L’utilisation d’outils comme des questionnaires pourra être prescrit ;
- Les documents consultés lors de l’audit le seront seulement au sein de l’établissement audité.
A quoi sert l’audit ?
Les contrôles d’audit sont réalisés à titre préventif. En effet, à la fin des opérations, des conclusions seront fournies par l’auditeur pour permettre à l’audité de procéder aux rectifications demandées par la réglementation sur la sécurité des bases de données. Le rapport fera alors état des lacunes et des manquements ainsi que des moyens pour y remédier. En mettant en application les recommandations découlant de l’audit, l’entreprise pourra corriger plus facilement les failles ; toujours dans le but d’accroître la protection des données, ce qui permettra d’éviter les sanctions liées aux éventuelles transgressions (volontaires ou non).
Qui peut effectuer un audit ?
La protection des données personnelles étant le but de l’audit, sa réalisation doit être assurée par les personnes qualifiées :
- avec une expérience professionnelle supérieure ou égale à 5 ans ;
- formées ;
- au fait de toutes les évolutions au niveau des textes de loi ; actuellement, avec le Règlement Général sur la Protection des Données ;
- avec au moins, 20 jours d’expérience d’audit ;
- répondant à tous les critères mis en place par le cadre légal.