Quelle personne peut effectuer un audit de la protection de vos données dans votre entreprise ?
Les données personnelles relèvent de la vie privée. C’est pourquoi leur utilisation par les entreprises doit être encadrée juridiquement. En Europe, c’est le Règlement Général à la Protection des Données (RGPD) qui énumère les obligations que doivent suivre les entreprises en matière de protection des données. Pour se conformer aux nouvelles normes, les entreprises devront faire un audit de protection des données. Elles feront ainsi le point sur les décalages entre leurs processus de traitement des données et la nouvelle règlementation, et c’est le DPO qui va effectuer cet audit.
Audit de protection des données : première étape vers la mise en conformité
Grâce à l’informatique, les entreprises peuvent aujourd’hui obtenir et gérer de plus en plus de données personnelles mais cette situation invite à la vigilance. Les entreprises doivent protéger encore plus les données personnelles de leurs clients. Le RGPD a justement été mis en place pour les obliger à prendre en compte ces nouvelles nécessités. Il leur impose de revoir leurs processus de traitement de données. L’audit fait par le délégué à la protection des données constitue la première étape de cette révision. L’audit a pour but d’aider les entreprises dans leur travail de mise en conformité avec le RGPD. Concrètement, il permettra de décrire le processus de traitement des données utilisées par l’entreprise dans son quotidien tout en mettant en relief les écarts par rapport aux normes sur la protection des données actuellement en vigueur.
Un délégué à la protection des données en interne
Le délégué à la protection des données internes peut effectuer un audit des données. Comme son nom l’indique, ce délégué fait partie de l’entreprise à auditionner. Et pour garantir son indépendance, la loi l’a doté d’un statut bien particulier. Ainsi, il est protégé dans l’exercice de ses fonctions. La loi dit par exemple que le délégué ne sera jamais relevé de ses fonctions ou sanctionné par son supérieur pour des agissements faits dans le cadre de l’exercice de ses fonctions. Malgré cette protection, le DPO interne reste un salarié soumis aux règles du code du travail. Il peut être légitimement licencié s’il commet un vol, un harcèlement sexuel ou une faute grave.
Un DPO externe
Le RGPD prévoit qu’il est tout à fait possible pour une entreprise de recourir au service d’un DPO externe pour faire un audit de la protection des données de leur entreprise. Cette solution à ses bons et ses mauvais côtés. Tout d’abord, à première vue, le délégué externe exerce ses fonctions dans une plus grande indépendance que le délégué interne. Il y a donc là une plus grande garantie d’objectivité et les risques de conflits d’intérêts sont moindres. Le problème c’est que lors de l’audit, le délégué externe va pouvoir accéder à des informations très sensibles (fiches des salariés, contacts des collaborateurs…). Il est donc important de bien choisir un DPO externe.
Rôle de la CNIL
La CNIL joue un rôle important en matière de protection de données. Elle sensibilise les entreprises au respect des lois sur la protection des données. Elle joue également un rôle de contrôle. Elle peut effectuer un contrôle au sein de l’entreprise et donner des sanctions en cas de non-conformité. Il est à rappeler que le délégué à la protection des données est l’interlocuteur principal de la CNIL au sein de l’entreprise. Le DPO doit informer la CNIL en cas de manquement aux règles pré-établies.