Audit de traitement

L’AUDIT DE TRAITEMENT DE DONNEES A CARACTERE PERSONNEL ou AUDIT CNIL

Contexte

Toute entreprise doit pour exister, collecter, enregistrer et traiter toute sorte de données, des données à caractère personnel, des données socio-démo, des données comportementales… L’entreprise constitue ainsi son Capital tant Client que Business.

Si le traitement des données à caractère personnel est strictement encadré, l’entreprise n’en comprend pas toujours les contraintes.

La Commission Nationale de l’Informatique et des Libertés (la CNIL, www.cnil.fr) est l’institution chargée de veiller au respect de la vie privée et des libertés dans un monde de plus en plus numérique.

La CNIL dispose d’un double pouvoir de contrôle et de sanction. Elle veille à faire appliquer de manière infaillible la juste application des lois Informatique et Libertés.

C’est ainsi que la CNIL opère des contrôles de plus en plus nombreux qui, associés à un réel pouvoir de sanction, représentent une réponse forte, tant financière que pénale.

Parce que l’entreprise ne peut exister sans « Capital Communication » et que celui-ci dépend tant du respect de l’environnement légal que de la qualité intrinsèque des données collectées, il est important de s’intéresser de très près à l’ensemble des données traitées.


La réponse de FGConseil.fr : L’AUDIT

Connaître vos points faibles et les corriger sans attendre…

Notre méthode, des étapes claires :

1.Inventaire

Il recense de l’ensemble des traitements automatisés de données à caractère personnel dans l’entreprise avec la création de « La liste des traitements ».

Cette liste inventorie l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise.

2. Analyse

a)     La collecte des données est le premier traitement.

1.     Les formulaires de collecte et autres questionnaires : étude de lisibilité et d’ergonomie, cohérence finalité des données collectées…

2.     Etude des mentions d’informations associées à la collecte initiale et aux collectes suivantes

3.     Etude des mentions légales associées

4.     Validation des finalités annoncées, durée de conservation, modalité  de mise en œuvre du respect du droit des personnes…

Pour chaque item, définition des points d’amélioration et objectivation des corrections à mettre en œuvre.

b)     Les traitements automatisés et autres traitements

1.     Quels traitements pour quelles déclarations ou demandes d’autorisation…

2.     Quelles mises à jour de formalités…

3.     Modalités d’encadrement des sous-traitants

Rapprochement des traitements, déclarations, demandes d’autorisation et obligations légales.

c)     La sécurité des traitements

1.     Politique de sécurité physique et logique de l’entreprise

2.     Modalités mise en œuvre pour les transferts de données personnelles

3.     Modalités mises en œuvre pour le respect du droit des personnes

d)     Les clauses de confidentialité

1.     Les salariés de l’entreprise

2.     Les sous-traitants

3.     Toute personne ayant accès aux données à caractère personnel

e)     Les conditions générales de vente

1.     Identité du Responsable de traitement

2.     Déclaration des fichiers à la CNIL

3.     Sécurité des traitements

4.     Modalités de prise en compte du droit des personnes

f)      Les sites internet

1.     Mentions légales de site

2.     Mentions d’information

3.     Formulaire de contact et mentions d’information

4.     Respect du droit des personnes

g)     Les autres informations relatives au respect des obligations légales

…./….

3.Bilan général des principales constatations et définition des actions correctrices objectivées.

Les actions correctrices sont objectivées et déclinées en simples, complexes et récurrentes avec ou sans accompagnement dans leurs mises en œuvre.