Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 7 : Maintenir - Contrôle et audit de la performance du programme -…
Module 7 : Maintenir - Contrôle et audit de la performance du programme
Indicateurs
obj : Transformer les engagements et procédures du programme de conformité en données mesurables, afin d'assurer un suivi objectif et documenté
Pourquoi utliser des indicateurs ?
pour surveiller l'application réelle des politiques
pour prioriser les actions correctives (formations, audits, mises à jour)
pour communiquer efficacement avec la direction (appui à la prise de décision)
pour démontrer l'accountability en cas de contrôle (preuves concrètes de suivi)
Exemples d'indicateurs pertinents
Formation
% d'employés formés à la protection des données
Droits des personnes
Délai moyen de réponse aux demandes d'addès (DSAR), nombre de demandes traitées
sécurité
nbre d'incidents de sécurité rapportés, nombre de violations notifiées à l'autorité
fournisseurs
% de contrats avec DPA signés, nbre de frs évalués ou audités
gouvernance
tx de complétion des registres de trt, fréquence des mises à jour
AIPD/DPIA
nbre de DPIA réalisées vs prévues, % validées avant mise en production
Caractéristiques d'un bon indicateur
pertinent (lié aux objectifs du programme)
mesurables (quantifiable, tracable)
actionnable (permet d'engager une decision ou un plan d'action)
périodique (suivi régulier : mensuel, trimestriel, annuel)
compréhensible pour les non spécialistes (ex : la direction)
BONNES PRATIQUES
commencer par un petit nombre d'indicateurs stratégiques
mettre en place un tableau de bord dédié
associer les responsables métiers à la définition des KPI
réviser les indicateurs chaque année selon l'évolution du contexte ou des risques
Contrôle
obj : mettre en place des points de contrôle réguliers, automatisés ou manuels, pour assurer l'application effective des politiques et détecter rapidement les dérives ou non-conformité
Quels types de contrôles mettre en place ?
Contrôles opérationnels
vérification régulière du respect des durées de conservation
suivi de la gestion des accès et des droits utilisateurs
validation de la collecte du consentement dans les formulaires et outils
surveillance des transferts de données (internes ou externes)
Contrôles documentaires
revue périodique des registres de trt
vérification des clauses contractuelles RGPD dans les nouveaux contrats
mise à jour des AIPD si changement dans les traitements ou les outils
Contrôles organisationnels
présence de politique de protection des dcp dans les processus RH, achat, IT
vérification de la formation des nouveaux collaborateurs
contrôle de l'affichage des notices d'information à destination du public
Frequence des controles
dépend de la criticité du traitement, du niveau de risque, et du volume de données concerné
Outils et méthodes
checklists de conformité par service ou activité
intégration de contrôles dans les outils métiers
tableaux de bord croisant les indicateurs clés
plateformes GRC ou outils spécialisé
BONNES PRATQUES
intégrer les contrôles dans les processus existants pour éviter la lourdeur
impliquer les métiers concernées dans le suivi des contrôles
mettre en place un reporting régulier au DPO ou au comité de gouvernance
traiter les écarts détectés avec des plans d'actions correctifs tracés
Audits
obj : Evaluer la performance réelle du programme, documenter l'accountability, définir des actions correctrices si necessaire
Différence entre contrôle et audit
Contrôle
vérification opérationnelles de l'application d'une règle
fréquent, intégré au quotidien
réalisé par des opérationnels ou le DPO
Audit
Evaluation globale, formelle, documentée et structurée
plus ponctuel, périodique
réalisé par une équipe indépendante
Types d'audits
audits internes
réalisé par l'audit interne, le DPO ou le service conformité
portent sur un processus, un projet, un service, ou l'ensemble du programme
obj : mesurer l'alignement avec la politique et le RGPD
audits externes
réalisés par un cabinet tiers ou un organisme de certification
permettent de valider une certification, ou de préparer une inspection CNIL
apportent un regard neutre et crédible auprès de la direction
audits de fournisseurs
vérifient que les sous-traitants respectent leurs obligations contractuelles RGPD
peuvent etre documentaire ou sur site
frequemment exigés dans les appels d'offres publics ou grands comptes
BONNES PRATIQUES
Définir un plan d'audit annuel ou pluriannuel
utiliser des grilles d'audit standardisées
impliquer les responsables métiers dans la préparation
communiquer les résultats et suivre les plans d'actions correctifs
documenter les preuves d'exécution et de révision