Recherche

Les audits dans le contexte du RGPD

Paris
Francis Lefebvre Formation

Rappeler les principes de la protection des données et la place des audits dans le RGPD
• L’accountability
• La privacy by default
• La privacy by design
• L’obligation du registre des activités de traitement , Quiz : le contexte du RGPD Distinguer la typologie des missions d’audit
• Distinction entre audit et reporting (rapport sur les activités de traitement)
• Selon le périmètre > L’audit de l’entreprise ou d’un établissement > L’audit d’un service (marketing, RH, métier) > L’audit des « services de la société de l’information »
• Selon l’objet > L’audit initial de conformité > L’audit juridique (de la documentation contractuelle et d’information) > L’audit des mesures techniques et organisationnelles
• Selon l’entreprise à auditer > L’audit du responsable de traitement > L’audit du sous-traitant
• Selon l’auditeur > L’audit interne (piloté ou non par le DPO) > L’audit externe (piloté ou non par le DPO externe)
• Les « audits à blanc » (par ex. simulation d’un contrôle de la CNIL) Anticiper l’audit dans les contrats entre responsables de traitement et sous-traitants
• Du point de vue du responsable de traitement
• Du point de vue du sous-traitant Se repérer dans la méthodologie et les outils de référence
• L’ancien label « audit » de la CNIL
• Le référentiel ISO (série 27000)
• L’outil PIA de la CNIL Identifier les référentiels
• La réglementation européenne et française > Sur la protection des données > Sectorielle (par ex. santé, banque, assurance, majeurs protégés)
• Les lignes directrices du CEPD (+ G 29)
• Les délibérations de la CNIL > Les lignes directrices > Les packs de conformité > Les anciennes normes de référence (normes simplifiées, autorisations uniques, dispenses). Préparer et réaliser l’audit
• La détermination du périmètre
• La première analyse documentaire
• La réunion d’ouverture
• Le plan d’audit (comprenant l’identification des personnes à interviewer et le planning)
• L’audit sur place : les interviews et les constats
• L’audit sur pièces : les constats
• La rédaction du rapport
• La restitution du rapport
• Le cas échéant : les préconisations
• Le cas échéant : la feuille de route déterminée en commun
• Le cas échéant : le suivi avec les audits de contrôle , Atelier pratique ’’Comment réaliser un audit RGPD en pratique’’ : La réalisation de l’audit initial de conformité du responsable de traitement La réalisation de l’audit initial de confromité du sous-traitant L’audit contractuel du sous-traitant à l’inititative du sous-traitant


Partager cette page sur :