MGSI peut effectuer un audit de conformité RGPD des activités de traitement de données à caractère personnel de votre organisation, ainsi que de certains produits et solutions informatiques.
Cet audit a pour objectif de déterminer le niveau de conformité et de maturité actuel de votre organisation, afin de recommander des actions permettant d’atteindre le niveau de maturité souhaité.
En outre, MGSI peut effectuer des audits informatiques concernant la gestion des accès logiques et physiques, la gestion de changement et les opérations informatiques.
Audit de conformité RGPD
L’audit de conformité RGPD peut être effectué à plusieurs niveaux au sein de l’organisation. Nous pouvons auditer globalement votre conformité, et ainsi évaluer votre niveau de maturité global. Nous pouvons également auditer vos activités de traitement plus en détail.
État des lieux et plan d’action
Déterminer les actions pertinentes à mettre en œuvre pour assurer la conformité avec le RGPD est l’objectif de l’analyse d’écarts (Gap analysis).
Une première étape consiste à dégager une vision globale de votre situation en matière de protection des données à caractère personnel.
Nous analysons ensuite votre conformité actuelle avec le RGPD, en :
- Recensant les mesures organisationnelles mises en place (structure de gouvernance, politiques et procédures)
- Examinant l’inventaire des activités de traitement de données à caractère personnel réalisées actuellement
- Analysant les opérations de traitement effectivement réalisées et des mesures techniques et de sécurité prises tout au long du cycle de vie des données (collecte, utilisation, stockage, transfert et suppression).
Base essentielle de votre programme de protection des données pour démontrer la conformité avec le RGPD, l’analyse d’écarts met en évidence les impacts du RGPD sur votre organisation en :
- Identifiant votre niveau de conformité avec le RGPD, pour chacun de vos traitements
- Déterminant les actions à mettre en œuvre pour répondre aux exigences du RGPD (en prenant en considération la taille de votre organisation, le niveau de risque, le volume et la sensibilité des données traitées pour les personnes concernées)
- Établissant un plan d’action opérationnel qui priorise les actions à mettre en place et vous accompagne dans votre projet.
Audit des traitements
Le premier objectif de cet audit est de déterminer les non-conformités des activités de traitement de votre organisation par rapport aux exigences du RGPD.
Le deuxième objectif de l’audit est d’identifier les actions appropriées qui doivent être mises en œuvre pour assurer la conformité avec le RGPD.
Pour ce faire, la première étape consiste à établir une vue globale du niveau de conformité de votre organisation en :
- Révisant l’inventaire des traitements de données à caractère personnel
- Identifiant les mesures techniques et organisationnelles mises en place pour la protection des données à caractère personnel tout au long de leur cycle de vie (collecte, utilisation, stockage, transfert et suppression).
La seconde phase consiste à identifier :
- Le niveau de conformité de chacune des activités de traitement de votre organisation par rapport au RGPD
- Les pistes d’amélioration et les actions à mettre en place pour répondre aux exigences du RGPD, en prenant en compte la sensibilité des activités de traitement et des données à caractère personnel impliquées.
Audit de produits et solutions
L’une des nouvelles exigences du RGPD est la protection des données dès la conception et par défaut. Si votre organisation envisage de développer un nouveau logiciel, processus ou activité, MGSI peut vous aider à répondre à cette exigence.
Il est à noter que les produits et systèmes existants doivent également être conformes au RGPD. Par conséquent, il est nécessaire d’effectuer un audit de conformité.
A cet effet, MGSI peut auditer la conformité de ces produits et systèmes aux exigences du RGPD. De plus, notre travail peut aboutir à la certification de vos solutions ou produits comme étant conformes au RGPD (EuroPriSe).
L’audit évalue la conformité du produit eu égard aux principaux points suivants :
- La classification des données
- La licéité, la loyauté et la transparence
- Les droits des personnes concernées
- Le recueil du consentement
- L’information des personnes concernées
- Les mesures de sécurité organisationnelles et techniques
- La gestion des violations de données
- La gestion des tiers
- Le transfert de données
Audit IT
MGSI peut effectuer un audit des contrôles généraux informatiques. Ces contrôles régissent les fonctionnalités des applications qui génèrent les transactions financières. MGSI peut effectuer des contrôles relatifs à la gestion et aux opérations de modification informatique, ainsi que des contrôles d’accès physique et logique.
L’audit couvre :
- La conformité aux normes, politiques et directives organisationnelles
- Les contrôles (évaluation de l’efficacité, de l’efficience et de l’adéquation des contrôles).
MGSI peut ensuite recommander des contrôles compensatoires qui réduiraient le niveau de risque lié aux failles identifiées lors de l’audit.
Besoin d’un audit de conformité RGPD ou d’un audit IT ?