Audit RGPD

Céline Mangin

Moodle : https://e-uapv2024.univ-avignon.fr/course/view.php?id=2317

travail collaboratif pour la séance du 12 mars

"Pour bien appréhender ce sujet, il est important de bien connaître le droit de la protection des données, issu du RGPD, mais également de la Loi Informatique et Libertés (LIL)"
"ces 2 textes vont servir de référentiel principal, même si parfois c'est pas évident"

"tous les notaires de France doivent désigner un DPO ; la plupart ont désigné notre filiale"
"l'audit c'est un travail qui n'est pas facile : il faut se promener 4 jours par semaine en France pour aller visiter les notaires, en général au bout de quelques années on se lasse"

sous le régime de la directive de 1995, les formalités étaient préalables, "et comme la CNIL était vite submergée, il y a eu les autorisations uniques, des mécanismes pour accélérer le traitement"
depuis la RGPD, "c'est la même logique de compliance qui va transcender tous les textes" (accountability) -> les responsables peuvent faire "ce qu'ils veulent", à condition de respecter les obligations des textes, et de le documenter afin de pouvoir être contrôlés a posteriori, "on a complètement inversé la logique"

"selon la maturité de l'organisme, on peut aller plus ou moins loin dans ce qu'on contrôle"
"c'est impossible, ou très rare, d'être 100% conforme au RGPD dans une structure mature ; déjà parce que les règles bougent beaucoup, avec une forte production normative, il faut se tenir au courant", "vous avez suivi la saga de Schrems, ça va sans doute encore tomber après les dernières déclarations de Trump"

dans la façon dont on l'applique au domaine de la protection des données, "l'audit, ça reste flou, chaque structure construit sa propre méthodologie, il n'existe pas de cadre de référence, de normes ISO ou AFNOR"
les normes SMSI vérifient que le SI de l’entité est bien protégé, "tandis que dans l'audit au RGPD, votre prisme intellectuel c'est la protection des personnes, pas des systèmes, même si sur beaucoup de points ça va se recouper"
"on cherche vraiment à vérifier que ce qui est déclaré, ou ce qui devrait être, est fait"
"si on fait des contrôles et que tout va toujours bien, à un moment donné c'est peut-être qu'on ne fait pas les bons contrôles"
"on verra qu'il existe des facteurs de risque, tout le monde n'est pas toujours animé des meilleures intentions", "il faut évaluer parmi les manquements lesquels sont les plus risqués ou pas, lesquels on va prioriser, notamment tout ce qui est public : tout ce que la CNIL peut relever sans se déplacer"

"dans l'appréciation des critères, il faut aussi être mesuré : si on lit ça à travers l'appréciation des risques, on n'a plus le temps de s'occuper des projets avec un risque bien plus élevé, "par exemple nous on a préféré se concentrer sur l'applicatif de transfert des documents des notaires, plutôt que faire des dizaines d'AIPD sur l'outil de saisie des notes de frais"
"ce qui est compliqué dans l'AIPD, c'est la partie chiffrage en temps"

hors cours

À prendre avec des pincettes, mais je repense à cette réflexion d'aeris (après l'avoir questionnée, la prof semblait d'accord avec le raisonnement):

L’article 25 du RGPD impose la prise en compte de la protection des données dès l’étape de conception d’un nouveau traitement de données. Cela veut dire que dès l’étape d’avant-projet, avant même la réalisation de la moindre ligne de code, il est nécessaire de se poser les bonnes questions et de commencer à réfléchir en mode « IAPD light ». Quelles sont les finalités visées par ce traitement ? Quelle durée de rétention sur les données ? Quelle base légale va être utilisée ? N’existerait-il pas une manière de faire qui soit plus respectueuse de la vie privée de la personne concernée ? Ne pourrait-on pas remplir le même objectif mais avec moins de données ?

"chez nous, on essaie même de passer une logique a priori à une logique a posteriori, pour qu'arrivé à la fin d'un projet, les parties prenantes puissent déclarer elles-mêmes si elles sont conformes ; c'est de la compliance mais il faut bien voir que pendant qu'on grossit, notre équipe elle ne grossit pas"

"essayez d'avoir au moins une clause d'audit par an"

"pour les informaticiens, souvent, la "donnée sensible", ça n'a pas la même définition qu'ailleurs"

pour faire un audit, il faut partir d'un référentiel, "qu'est-ce qu'on cherche à auditer"
problème : le RGPD et la LIL "sont des lois", "elles ont un certain degré de généralité" : comment construire un questionnaire pour la conformité du traitement ?

  • "vous pouvez vous appuyer sur les lignes directrices de la CNIL, c'est contraignant" (contrairement aux recommandations)
    ex : société de vente de produits de luxe, "pour les activités commerciales, la CNIL a publié un référentiel, elle recommande de conserver les données client jusqu'à 3 ans"
    "imaginez que la société garantisse ses produits à vie, elle conserve les données 50 ans pour pouvoir réparer les produits ; si elle peut prouver qu'elle répare vraiment les produits, vous voyez qu'il n'y a pas non-conformité, la recommandation ce n'est pas obligatoire"
  • la jurisprudence, "c'est toujours compliqué"
  • "ce qui est intéressant, c'est ce document de l'IFACI à l'intention des auditeurs, pas forcément des juristes", "je ne sais pas si c'est destiné à être public, mais il y a au moins 4 personnes qui l'ont partagé sur LinkedIn"
    ex. schéma "comment savoir qui est responsable de traitement ou sous-traitant", "ça vaut ce que ça vaut mais c'est intéressant comme déclinaison opérationnelle, quand on n'a pas l'expérience du RGPD"
exercice

sur la base des articles 37 et 38 du RGPD, "que je vais vous demander de relire", "vous allez me montrer comment vous construirez votre petit questionnaire", "un petit fichier Excel avec les traitements, les référentiels, la liste des points à vérifier, une colonne conforme/non conforme qui restera vide, une colonne pour les commentaires, etc."
"on va dire que vous allez auditer une université, essayez de voir les points de vérification et ce que vous attendez comme preuve"

  • Est-ce qu'une université est tenue de désigner un DPO ? => oui (art. 37.1 RGPD)
    preuve attendue : le formulaire de désignation ou le registre des DPO en ligne
Interactive Graph
Table Of Contents
Audit RGPD