Le management et l’audit des risques d’atteinte à la vie privée

 

Couverture GTAG 5Le GTAG 5 sur le management et l’audit des risques d’atteinte à la vie privée a pour objectif de fournir aux responsables d’audit interne, aux auditeurs internes et au management une vision sur les risques d’atteinte à la vie privée auxquels leurs organisations doivent répondre quand elles collectent, utilisent, conservent ou publient des informations à caractère personnel.

Les rédacteurs du guide indiquent que l’évaluation de l’audit interne doit comporter notamment : une revue générale du dispositif, l'analyse des directives et contrôles mis en place, ainsi que de la documentation des procédures internes correspondantes, un inventaire des informations et des systèmes concernés, un examen des traitements mettant en œuvre des données personnelles en regard des finalités assignées, de la législation et la réglementation applicables, etc.

La synthèse des documents de référence sur la protection de la vie privée qui est proposée aide à comprendre les principaux concepts et à retrouver les standards ou pratiques applicables dans une grande diversité d’environnement.
Ce guide explicite aussi les éléments clés d’une mission d’évaluation du risque d’atteinte à la vie privée.

Les questions à se poser

  • Quels sont les lois et règlements auxquels est soumise l'entreprise en matière de protection de la vie privée ?
  • Quelles sont les informations personnelles que l'entreprise recueille et traite dans le cadre de ses activités ?
  • Des directives internes et des procédures ont-elles été mises en place en regard des risques découlant du recueil, de l'utilisation, du stockage, de la destruction, de la diffusion de ces informations ?
  • Les responsabilités ont-elles été clairement définies au sein de l'entreprise en matière de mise en œuvre du dispositif de protection des données personnelles?
  • Des informations à caractère personnel gérées par l'entreprise font-elles l'objet d'une communication à des tiers ?
  • Le personnel de l'entreprise a-t-il été formé pour (ré)agir de façon appropriée en matière de protection de la vie privée ?
  • Une évaluation du dispositif assurant la protection des données personnelles est-elle réalisée périodiquement ? Ses résultats sont-ils suivis ?

Commentaires de l’IFACI

Ce GTAG constitue une base utile pour aborder la question de la protection des données personnelles gérées par l’entreprise. En France, la préparation des missions relevant de ce domaine nécessitera d’intégrer les principes édictés par la CNIL (http//www.cnil.fr).

 

Plan du GTAG 5

1. Résumé

2. Introduction

2.1 Qu’est-ce que la protection de la vie privée

2.2 Gestion des risques d’atteinte à la vie privée

3. Principes et cadre de protection de la vie privée

3.1 Principes de protection de la vie privée

3.2 Cadre de protection de la vie privée

4. Protection de la vie privée et entreprise

4.1 Répercussions

4.2 Modèle de risques d’atteinte à la vie privée

4.3 Problèmes sectoriels et de branche

4.4 Cadre de contrôle du respect de la vie privée

4.5 Mesurer les performances

5. Auditer la protection de la vie privée

5.1 Rôle de l’audit interne dans la protection de la vie privée

5.2 Planification de l’activité

5.3 Classification et hiérarchisation des données

5.4 Analyse de risques

5.5 Préparation de la mission

5.6 Exécution de la mission

5.7 Communication et pilotage des résultats

5.8 Protection de la vie privée et gestion des audits

6. Dix questions que le responsable de l’audit interne doit se poser concernant la protection de la vie privée

7. Annexes

Télécharger le GTAG en français
Télécharger le GTAG en anglais