8 choses à retenir lors d’un audit sur la confidentialité des données
La confidentialité des données est en tête des priorités, les entreprises s’efforçant de se conformer à des réglementations telles que la mise à jour générale de l’UE au règlement sur la protection des données (GDPR). À l’heure où les entreprises collectent de grandes quantités d’informations, les audits de confidentialité des données évaluent si les organisations sont en bonne position pour gagner la confiance des clients et respecter leurs obligations réglementaires.
Les audits de confidentialité des données offrent des indications précieuses sur la manière d’améliorer les pratiques de traitement des données, explique Robert Grosvenor, directeur général du département Disputes and Investigations de la société de services professionnels Alvarez & ; Marsal. « En fin de compte, cela contribue à soutenir une meilleure gouvernance des données et la confiance à un moment où une bonne gestion des données est essentielle à la stratégie commerciale. »
Les avantages de la réalisation d’un audit de confidentialité des données sont clairs, alors que devez-vous retenir ?
>Voir aussi : Guide de l’âge de l’information sur les données et la confidentialité
#1 – Définir un objectif et une portée clairs
Il existe un certain nombre d’options disponibles, il est donc important de déterminer l’objectif et la portée de l’audit, explique Camilla Winlo, responsable de la confidentialité des données chez Gemserv, une société de conseil en services professionnels.
Grosvenor est d’accord. Dans certains cas, il peut être judicieux d’entreprendre un « bilan de santé ou une évaluation collaborative moins formelle » de la fonction de protection de la vie privée, conseille-t-il. « Une feuille de route pratique pour l’amélioration peut alors être établie dans le but d’engager de manière proactive les parties prenantes et de les sensibiliser à l’importance de la confidentialité des données. »
#2 – Définir un critère et une méthodologie
Un audit sur la confidentialité des données nécessite des critères et une méthodologie. « Il peut être possible d’effectuer un audit sur la base d’une norme tierce telle que la norme ISO 27701, ou il peut être nécessaire de créer un plan d’audit sur mesure à partir des exigences définies dans des documents tels que les politiques, les procédures et les contrats », explique M. Winlo.
Une fois les critères d’audit déterminés, les entreprises doivent réfléchir aux preuves qu’elles doivent examiner et à la manière dont elles vont les recueillir. Il peut s’agir de contrôles d’échantillons, d’entretiens, d’examens de la documentation et de tests, explique Winlo. « L’auditeur devra examiner suffisamment de preuves pour savoir si les activités de traitement sont toujours, parfois ou jamais conformes aux exigences. Si elles ne sont pas conformes, les organisations doivent évaluer l’importance de l’écart. »
>Voir aussi : Les meilleurs logiciels de conformité au GDPR pour les CTO
#3 – Sachez quelles sont les données dont vous disposez et à quelles fins vous les utilisez.
Lorsque vous effectuez un audit de confidentialité, il est important d’identifier les données dont vous disposez, l’endroit où elles sont stockées et l’usage que vous en faites. « Une fois que vous savez de quelles données vous disposez, vous devez déterminer d’où elles proviennent », explique Nigel Jones, cofondateur de Privacy Compliance Hub. « Ensuite, vous pouvez déterminer les droits dont vous disposez à leur égard, ce que vous en faites, où vous les conservez, combien de temps vous les gardez et ce qui se passe lorsque vous n’en avez plus besoin. »
Cet inventaire de base servira de base au reste de votre audit ainsi qu’à votre registre des activités de traitement (ROPA), dit-il.
Mais il ne sert à rien de sécuriser les données au sein de votre propre organisation si vous les partagez ensuite avec d’autres qui ne les respectent pas, souligne Jones. « Assurez-vous d’avoir une liste de toutes les organisations avec lesquelles vous partagez des informations ; mettez en place des accords avec chacune d’entre elles ; et soyez prêt à démontrer pourquoi vous pensez qu’elles peuvent traiter les données en toute sécurité. »
La conformité au GDPR exige que les données ne soient utilisées que dans le but pour lequel elles ont été collectées, vous devrez donc prouver que votre entreprise s’est engagée à respecter ce principe, explique Jamie Akhtar, PDG et cofondateur de CyberSmart.
En plus de cela, vous devrez également établir comment votre entreprise protège les données et assure leur exactitude, ajoute-t-il.
>Voir aussi : Comment l’IA pourrait changer la donne en matière de confidentialité des données
#4- Ne pas négliger les données fantômes
Lors de l’audit, n’oubliez pas les « données fantômes » – les informations généralement extraites des systèmes de l’entreprise dans une feuille de calcul ou une base de données et utilisées par des équipes au sein de l’entreprise.
« Ce type d’informations, qui peuvent être personnelles et sensibles, échappent souvent aux autres contrôles de sécurité et de confidentialité des données », explique Darren Wray, responsable des solutions de protection des données de Guardum au DFIN et auteur de l’ouvrage suivant The Little Book of GDPR : Getting on the Path to Compliance (Se mettre sur la voie de la conformité)..
#5 – Pensez aux processus d’affaires et à la sensibilisation du personnel
Lors de l’audit, il ne s’agit pas seulement des données elles-mêmes : les entreprises doivent tenir compte des processus opérationnels et de la sensibilisation du personnel aux questions de conformité et de confidentialité, explique M. Wray.
La formation est un facteur clé, dit-il. « Assurez-vous qu’il existe un processus de sensibilisation du personnel et que tout le personnel – y compris l’équipe dirigeante – suit la formation. »
>Voir aussi : Quel est le rôle du gestionnaire de données ?
#6 – Se concentrer sur le consentement
L’obtention du consentement est absolument cruciale lorsqu’il s’agit de traiter des données et d’assurer la conformité. Le consentement actif et continu est la clé de la conformité au GDPR, mais la simple utilisation de cookies pour gérer les accusés de réception contextuels « ne suffira pas », déclare Russell Howe, VP EMEA, Ketch. « Vous avez plutôt besoin de mécanismes de consentement clairs et contextualisés qui permettent aux utilisateurs de comprendre et de contrôler exactement quelles données sont collectées et comment elles sont contrôlées. »
Les organisations doivent établir si l’entreprise a des motifs légaux pour traiter les données, dit Akhtar. « Vous devrez également montrer comment vous obtenez le consentement des clients pour l’utilisation de leurs données. »
Les entreprises doivent être en mesure de fournir des preuves de la manière dont les consommateurs peuvent accéder à leurs données s’ils soumettent une demande d’accès à un sujet. Dans le même temps, les entreprises doivent être en mesure de démontrer le respect du droit des sujets à effacer leurs données, affirme M. Akhtar.
#7 – Tout documenter
Les organisations doivent s’assurer qu’elles documentent tout. Cela vous permettra de prouver vos références en matière de protection des données si le besoin s’en fait sentir.
Le GDPR exige une « conformité vérifiable », déclare Howe. « Conserver des enregistrements clairs sur la façon dont vous traitez les données est vital lorsqu’il s’agit de communiquer avec les utilisateurs et les régulateurs. Il sera également beaucoup plus facile d’obtenir la réduction ou l’annulation des pénalités si vous ou vos partenaires dérapez. »
#8 – Sécurité des données et violations de données
En vertu du GDPR, les entreprises doivent être en mesure de démontrer les références de sécurité technique de l’entreprise, y compris la façon dont elles protègent les données physiquement et numériquement, comment elles les sauvegardent et comment elles les rendent anonymes.
Dans le même temps, les entreprises doivent être en mesure de prouver que l’entreprise dispose d’un plan de réponse aux incidents robuste en cas de violation des données. « Cela comprend la notification aux autorités, la documentation et l’assurance », précise M. Akhtar.
Voir aussi :
Clive Humby – les données permettent de prédire presque tout ce qui concerne la gestion d’une entreprise. Clive Humby, inventeur de la carte Tesco Clubcard, explique comment ne plus se sentir submergé par les données, comment convaincre votre PDG de leur importance et pourquoi les données doivent être tournées vers l’avenir et non vers le passé.
Comment les entreprises peuvent-elles se préparer au projet de loi sur la protection des données et l’information numérique ? Alors que le projet de loi sur la protection des données et des informations numériques est actuellement examiné par le Parlement, Michael Paye, vice-président de Netwrix chargé de la recherche et du développement, explique comment les entreprises peuvent se préparer de manière optimale.
Oubliez la transformation numérique : la transformation des données est ce qu’il vous faut – Stefano Maifreni, fondateur d’Eggcelerate, explique pourquoi les organisations doivent se concentrer sur la transformation des données pour maximiser la valeur à long terme.