Interview de Julien WINKIN, Managing Partner, Owner Luxgap et speaker de séance lors de la conférence annuelle GDPR du 26 mars à Luxembourg

Quels sont les objectifs ou finalités de contrôle du DPO ? A quoi sert l’audit GDPR ?

L’article 38 et 39 du RGPD le définissent bien, plus concrètement le DPO est un conseiller dans l’entreprise qui doit être à même d’expliquer à chaque métier de l’entreprise quelles sont ses obligations et de donner des recommandations pragmatiques à tous les services, ainsi qu’aux société partenaires de la société.

De nombreuses choses doivent être améliorées dans toutes les entreprises, le DPO est alors un acteur majeur de transformation qui doit tant que possible de monter le niveau de maturité en élevant l’entreprise dans de meilleures pratiques. L’entreprise trouvera alors de nombreux avantages financiers, opérationnels et techniques. Ainsi le DPO pourra emmener le métier et limiter l’opposition habituelle au changement.

Lorsqu’on audite un DPO, l’intérêt est de montrer des axes de changement qu’il n’aurait pas identifiés. Il s’agit aussi d’identifier des risques qui seraient passés sous la vigilance des employés, l’avantage d’un audit réalisé par une société externe est d’amener des idées et de l’expérience extérieures. Ainsi fournir des leviers pour l’amélioration de la sécurité informatique, identifier des risques de fuite de données typiques d’un métier plutôt qu’un autre, ou encore fournir des outils pour y arriver en minimisant les coûts.

Quels départements impactés par le GDPR ?

Majoritairement le service IT car la protection des données concerne souvent des données « digitales », il y a de moins en moins de papier, et c’est une bonne chose car une fois imprimé on ne peut plus voir dans quelles mains ce papier peut aller. On perd la traçabilité. Le service RH doit quant à lui toujours changer ses habitudes, adapter ses contrats.

Ensuite chaque département est impliqué dans la conformité, avec plus ou moins de changements à prévoir. Comment un service échange des données personnelles sensibles avec ses clients et partenaires, ont-ils tous une bonne connaissance de ce qui est autorisé ou non ? Sans définir cela un employé pourrait mettre des données sensibles sur wetransfer ou sur son cloud personnel parce que les fichiers sont trop gros par email. Ou encore l’employé chiffre un document pour l’envoyer par email, puis envoie le mot de passe par email… On voit des attitudes qui doivent simplement être adaptées afin de limiter les risques de fuite. Initialement les mauvaises habitudes ne sont pas mal intentionnées, mais si vous utilisez le même mot de passe à votre travail que sur vos plateformes personnelles telles que linkedin, twitter, facebook,.. vous mettez les données de l’entreprise en péril. Le DPO peut éviter tout cela facilement.

Comment se déroule un audit RGPD ?

Il existe de nombreuses façons de trouver des point d’amélioration, voici une petite liste :

Les audits techniques, destinés à l’IT et au RH :

  • On tente de pirater l’entreprise de l’extérieur, afin d’identifier des failles de sécurité purement techniques.
  • On tente par spear phishing de piéger les employés à des fins de sensibilisation du personnel

Les audits pour le DPO :

  • Un audit global réalisé avec le support du DPO de l’entreprise où on teste la conformité, sur base du GDPR CARPA, ou de la norme ISO27701 (en plus de ISO27001 si requise)
  • Un audit sans le DPO, sur les différents sites, où on pose des questions aux différents métiers pour évaluer leurs bonnes ou moins bonnes habitudes de travail. On vérifie comment les données papier sont gérées, on vérifie comment ils transfèrent les données sensibles et s’ils sont à même de les identifier. On contrôle ce qui se trouve dans les données papier, et numériques afin de voir si le principe de minimisation est respecté et si chacun a une notion des périodes de rétention qui lui sont imposées. Et finalement on vérifie le plan de contrôle de conformité du DPO, c’est-à-dire les éléments qui sont contrôlés périodiquement et automatiquement. On vérifie côté IT s’ils sont à même d’identifier une fuite de données. De nombreux tests dans le quotidien de chaque service permettent de lever de nombreux risques, il en sort toujours beaucoup de recommandations.

Comment procède-t-on à une mise en conformité après un audit ?

Nous créons un plan d’action de conformité et un registre des non conformités constatées, le tout est géré d’un programme que nous mettons à disposition du client. Avec lequel on a des indicateurs qui démontrent la montée du niveau de conformité global. Dans cet outil le DPO et les responsables des métiers voient les tâches qui leur sont attribuées, les tâches peuvent être récurrentes ou uniques. Ceci permet de démontrer au régulateur en cas de contrôle que le nécessaire est fait pour éviter toute fuite de données, et qu’en cas de fuite il s’agissait d’un point identifié et sur le point d’être résolu.

Retrouvez-nous très prochainement en cliquant ici : https://www.ifebenelux.lu/formation/rendez-vous-rgpd-gdpr