Un audit de conformité RGPD n’est pas un exercice cosmétique. C’est le seul moyen fiable de mesurer l’écart entre vos pratiques réelles et les exigences du règlement. La CNIL a infligé plus de 400 millions d’euros d’amendes depuis 2018, dont la majorité portait sur des manquements que tout audit sérieux aurait détectés. Voici une méthodologie en 10 étapes, testée sur le terrain.
Points Clés
- Un audit RGPD couvre l’ensemble du cycle de vie des données : collecte, traitement, stockage, transfert et suppression.
- L’Art. 24 RGPD impose au responsable de traitement de démontrer sa conformité — l’audit est l’instrument principal pour y parvenir.
- La cartographie des traitements (Art. 30 RGPD) constitue le socle de tout audit : sans registre fiable, l’analyse des écarts est impossible.
- Le coût d’un audit externe varie de 5 000 à 50 000 euros selon la taille de l’organisme et la complexité des traitements.
- Un audit n’est pas un événement ponctuel mais un processus récurrent, idéalement annuel.
Étape 1 : définir le périmètre de l’audit
Le périmètre détermine l’ensemble de l’exercice. Il peut couvrir l’intégralité de l’organisme ou se concentrer sur un département, une application ou un processus métier spécifique.
Critères de délimitation :
- Entités juridiques concernées (filiales, sous-traitants)
- Traitements inclus (tous ou sélection par criticité)
- Périmètre géographique (siège, établissements, transferts hors UE)
- Systèmes d’information visés
La CNIL recommande de commencer par les traitements les plus risqués : données sensibles (Art. 9 RGPD), profilage, vidéosurveillance, ou traitements de grande envergure.
Étape 2 : constituer l’équipe d’audit
L’équipe doit combiner expertise juridique et compréhension technique. Elle comprend typiquement :
- Le DPO ou le responsable conformité, qui pilote l’exercice
- Un référent IT/sécurité, pour auditer les mesures techniques
- Un représentant métier par direction auditée
- Éventuellement, un auditeur externe pour garantir l’objectivité
L’Art. 38(1) RGPD prévoit que le DPO est associé à toutes les questions relatives à la protection des données. L’audit en est l’illustration directe.
Étape 3 : collecter la documentation existante
Avant toute analyse, rassemblez les documents de référence :
- Registre des traitements (Art. 30 RGPD)
- Politiques de confidentialité et mentions d’information
- Contrats de sous-traitance (Art. 28 RGPD)
- Analyses d’impact (AIPD) réalisées
- Procédures de gestion des violations de données
- Rapports d’audit précédents
Cette phase révèle souvent un premier niveau de non-conformité : documentation absente, obsolète ou incohérente avec les pratiques réelles.
Étape 4 : cartographier les traitements réels
La cartographie des traitements est le coeur de l’audit. L’Art. 30 RGPD exige un registre détaillant pour chaque traitement : la finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité.
L’audit compare le registre déclaratif avec la réalité terrain. Les écarts les plus fréquents :
- Traitements non déclarés (shadow IT, tableurs informels)
- Finalités réelles divergentes des finalités documentées
- Durées de conservation non respectées
- Sous-traitants non référencés
Legiscope automatise cette cartographie en analysant les systèmes d’information et en identifiant les flux de données réels, réduisant de 70 % le temps nécessaire à cette étape.
Étape 5 : analyser les bases légales
Pour chaque traitement identifié, vérifiez que la base juridique invoquée est appropriée et documentée. L’Art. 6 RGPD prévoit six fondements possibles.
Les erreurs les plus courantes :
- Invoquer le consentement alors que le traitement repose sur une obligation légale
- Utiliser l’intérêt légitime sans avoir réalisé le triple test de mise en balance
- Absence de preuve du consentement lorsqu’il est invoqué comme base légale
La CNIL, dans sa Délibération n°SAN-2022-009 du 6 janvier 2022, a infligé 150 millions d’euros à Google pour des manquements liés au recueil du consentement pour les cookies — preuve que cette étape n’est pas négociable.
Étape 6 : évaluer les droits des personnes
L’audit doit vérifier que les droits prévus aux Art. 15 à 22 RGPD sont effectivement exercables :
- Droit d’accès (Art. 15) : processus de réponse en place, délai d’un mois respecté
- Droit de rectification (Art. 16) : canal accessible, traçabilité des modifications
- Droit à l’effacement (Art. 17) : suppression effective dans tous les systèmes
- Droit à la portabilité (Art. 20) : format structuré et lisible par machine
- Droit d’opposition (Art. 21) : mécanisme simple, traitement cessant immédiatement
Testez ces processus en conditions réelles : soumettez une demande d’accès fictive et mesurez le délai et la qualité de la réponse.
Étape 7 : auditer la sécurité des données
L’Art. 32 RGPD impose des mesures techniques et organisationnelles appropriées au niveau de risque. L’audit évalue :
- Chiffrement des données au repos et en transit
- Gestion des habilitations et contrôle d’accès
- Pseudonymisation et anonymisation
- Sauvegardes et plan de continuité
- Tests d’intrusion et audits de vulnérabilité
- Journalisation des accès aux données personnelles
La CNIL a sanctionné Dedalus Biologie (Délibération n°SAN-2022-009) d’une amende de 1,5 million d’euros pour des failles de sécurité ayant conduit à la fuite de données de santé de 500 000 patients.
Étape 8 : vérifier les transferts internationaux
Tout transfert de données hors EEE doit reposer sur un mécanisme prévu aux Art. 44 à 49 RGPD : décision d’adéquation, clauses contractuelles types (CCT), ou règles d’entreprise contraignantes (BCR).
L’audit vérifie :
- L’inventaire des transferts hors EEE (y compris les sous-traitants cloud)
- L’existence de CCT conformes au modèle de la Commission européenne (version 2021)
- La réalisation d’une évaluation d’impact du transfert (Transfer Impact Assessment)
- La documentation des mesures supplémentaires le cas échéant
Étape 9 : rédiger le rapport d’audit et le plan de remédiation
Le rapport d’audit doit être structuré et actionnable :
- Synthèse exécutive : niveau de conformité global, risques majeurs
- Constats détaillés : par traitement ou par thématique, avec référence aux articles du RGPD
- Cotation des risques : criticité (haute/moyenne/basse), probabilité, impact
- Plan de remédiation : actions correctives, responsable, échéance, priorité
Chaque constat doit être associé à une recommandation concrète, un responsable identifié et un délai réaliste. Un plan de remédiation sans échéances ni responsables est un document sans valeur.
Étape 10 : suivre et itérer
L’audit n’est complet que lorsque les actions de remédiation sont mises en oeuvre et vérifiées. Mettez en place :
- Un comité de suivi mensuel pendant la phase de remédiation
- Des indicateurs de conformité (KPI) : pourcentage de traitements documentés, taux de réponse aux demandes d’exercice de droits, nombre de violations détectées
- Un audit de contrôle à 6 mois pour vérifier la mise en oeuvre effective
- Un cycle annuel d’audit intégré à la gouvernance de l’organisme
Legiscope intègre un tableau de bord de suivi de conformité qui met à jour automatiquement les indicateurs et alerte sur les actions en retard.
Coût et durée d’un audit RGPD
| Taille organisme | Durée estimée | Coût externe indicatif |
|---|---|---|
| TPE (< 50 salariés) | 2-5 jours | 3 000 - 8 000 EUR |
| PME (50-250 salariés) | 5-15 jours | 8 000 - 25 000 EUR |
| ETI/Grande entreprise | 15-40 jours | 25 000 - 80 000 EUR |
Ces fourchettes varient selon le nombre de traitements, la complexité du SI et le degré de maturité existant. Un audit interne, piloté par le DPO avec l’appui d’outils comme Legiscope, peut réduire significativement ces coûts.
FAQ
Un audit RGPD est-il obligatoire ?
Le RGPD n’impose pas explicitement un « audit » en tant que tel. Cependant, l’Art. 5(2) et l’Art. 24 RGPD imposent au responsable de traitement de démontrer sa conformité (principe d’accountability). En pratique, l’audit est le seul instrument qui permet de satisfaire cette obligation de manière documentée et vérifiable.
Quelle est la différence entre un audit RGPD et une AIPD ?
L’audit évalue la conformité globale de l’organisme à l’ensemble du RGPD. L’analyse d’impact relative à la protection des données (AIPD, Art. 35 RGPD) est un exercice ciblé sur un traitement spécifique présentant un risque élevé. L’AIPD est un composant de l’audit, pas son équivalent.
À quelle fréquence faut-il réaliser un audit RGPD ?
La CNIL recommande un audit au moins annuel pour les organismes traitant des données à grande échelle ou des données sensibles. Pour les autres, un audit tous les 18 à 24 mois est un minimum raisonnable, complété par des contrôles ponctuels lors de changements significatifs (nouveau système, nouvelle finalité, changement de sous-traitant).
Peut-on réaliser un audit RGPD en interne ?
Oui, à condition que l’équipe dispose des compétences juridiques et techniques nécessaires. L’avantage de l’audit interne est la connaissance fine des processus. Son risque est le manque d’objectivité. La combinaison audit interne régulier + audit externe ponctuel offre le meilleur équilibre entre coût et fiabilité.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
