Audit RGPD d’un site Web : comment nous les menons chez Adimeo

La conformité au Règlement Général sur la Protection des Données (RGPD) est un enjeu majeur pour toute entreprise ou institution présente sur le Web.

Au-delà même du risque juridique, il en va de sa crédibilité vis-à-vis de son audience, de ses utilisateurs, de ses clients. Mener un audit de conformité, c’est à la fois vérifier que son site Web est en accord avec la législation, et c’est aussi s’assurer de la confiance des internautes. Cet article explique ce qu’un audit doit couvrir et apporter.

Auditer la qualité d’information des internautes

Quelle que soit la nature d’un projet Web, il y a fort à parier que celui-ci soit concerné par la législation européenne du RGPD. Rappelons succinctement que cette réglementation a pour objectif de protéger les droits fondamentaux, dont la vie privée des citoyens européens. En résumé, il s’agit pour les acteurs du Web (dont vous faites partie en tant qu’entreprise, association ou autre entité privée ou publique) d’être parfaitement transparents sur l’usages faits des données des internautes.

À lire également notre article : Protection des données personnelles : l’impact du RGPD sur les projets Web.

Ainsi, un premier point à vérifier dans un audit est ce degré de « transparence » que renvoie concrètement une entité, à travers son ou ses dispositifs Web, à ces utilisateurs, clients, internautes. Cette « transparence » se mesure comme une « facilité » d’accès aux informations concernant l’usage des données personnelles. L’utilisateur, le visiteur, doit pouvoir être informé sans détour des données personnelles collectées et du traitement qui en est fait.

Concrètement, sous ce critère d’audit sont analysées les pages de mentions de légales spécifiques au traitement des données personnelles, sur leur fond et leur forme, et sur leur positionnement dans le parcours d’expérience utilisateur. Les informations doivent être d’excellente qualité, et facilement accessibles.

Auditer les possibilités d’exercer ses droits

Immédiatement en lien avec ce devoir d’information, un autre point important à auditer est celui concernant les moyens pour une personne d’exercer ses droits relatifs à ces données.

Rappelons, que le RGPD garantit aux citoyens européens que leurs données personnelles leur appartiennent et qu’elles doivent pouvoir être justes, rectifiées le cas échéant, portables, et supprimables définitivement si on le souhaite.

Un site Web, une application, doivent donc donner toutes les informations nécessaires pour mener une procédure dans le but d’exercer un de ces droits sur des données personnelles. Concrètement, un audit RGPD va vérifier que les internautes ont accès à une procédure claire (éventuellement un outil directement en ligne) pour contacter un responsable et formuler une demande concernant ses données personnelles. Cette information doit être également sans détour et ne pas mettre de difficulté particulière à l’exercice des droits.

De fait, il convient également d’auditer la capacité de l’entreprise ou de l’institution responsable du site web à traiter les demandes avec efficacité et transparence. On cherche donc à analyser, dans cette partie d’audit, l’organisation interne, la qualité de la procédure et les compétences des intervenants en matière de protection des données personnelles.

Audit technique

Vérifier que le dispositif digital est conforme au RGPD d’un point de vue organisationnel n’est pas suffisant. Un site Web, une application Web ou mobile, ont des implications techniques au niveau de la protection des données personnelles. Et notamment au niveau de leur sécurité. Il convient de s’assurer qu’aucune faille technique ne met en péril les données personnelles des visiteurs et utilisateurs. Sur ce point, l’audit RGPD rejoint les enjeux d’un audit de sécurité.

D’un point de vue technique, on vérifie également deux points importants :

• Les mécanismes relatifs aux cookies, aux données personnelles qu’ils captent et à la capacité des utilisateurs à consentir ou non à l’emploi de ces cookies, en toute connaissance de cause. L’audit RGPD porte notamment sur la mise en œuvre d’un outil de gestion des cookies et du consentement (Consent Management Platform) ;
• Les mécanismes backend permettant de mettre en œuvre efficacement la rectification ou l’effacement des données personnelles, au niveau des composants techniques de stockage telles que les bases de données.

En fonction de la volumétrie de données traitées et de leur niveau de sensibilité, l’audit de sécurité accompagnant l’audit RGPD doit être dimensionné en conséquence.

La checklist RGPD en résumé

En synthèse, l’audit repose sur une checklist de points incontournables :

• Présence, qualité et exhaustivité des mentions légales concernant la protection de la vie privée ✅
• Exhaustivité et précision d’une liste mentionnant les traitements de données opérés et leur finalité ✅
• Présence d’une procédure claire avec identification du contact pertinent pour obtenir des informations ou exercer ses droits ✅
• Mise en œuvre d’un outil technique et fonctionnel pour le consentement (ou non) à l’utilisation des cookies ✅
• Niveau de connaissances et de compétences du Délégué à la Protection des Données (DPO) ✅
• Exhaustivité et qualité du registre de traitement des données de l’entreprise ✅

En conclusion, chez Adimeo, nous menons un audit RGPD selon plusieurs axes : juridique, organisationnel, technique. Les problématiques sont distinctes mais connexes. Le travail de relevé des faits, de leur analyse puis de recommandations fait donc appel à plusieurs expertises qu’Adimeo sait mobiliser dans ses propres effectifs et ses différents pôles de compétences. C’est la condition sine qua non pour une conformité complète de votre projet Web vis-à-vis du RGPD et de ses multiples implications.

Crédits photos :

• sdecoret
• Olivier Le Moal