Données personnelles

Audit RGPD : guide méthodologique en 10 étapes

Conduire un audit RGPD efficace en 10 étapes : cadrage, cartographie, analyse d'écarts, plan d'action. Méthodologie avec exemples CNIL et sanctions réelles.

TD
Dr. Thiébaut Devergranne
12 avril 20266 min read

L’audit RGPD est l’outil indispensable pour évaluer le niveau de conformité d’un organisme et identifier les écarts à combler. La CNIL le recommande comme première étape de toute démarche de mise en conformité. Pourtant, de nombreuses organisations conduisent des audits superficiels, limités à un questionnaire générique, sans méthodologie structurée. Résultat : les manquements critiques passent inaperçus jusqu’au contrôle. Ce guide propose une méthodologie opérationnelle en 10 étapes, fondée sur les exigences du RGPD et les pratiques de la CNIL.

Points Clés

  • Un audit RGPD examine la conformité d’un organisme aux obligations du RGPD : registre, bases légales, droits des personnes, sécurité, transferts.
  • La méthodologie repose sur 10 étapes structurées, du cadrage à la vérification des actions correctives.
  • Le registre des traitements (Art. 30 RGPD) est le document central de tout audit : son absence ou son incomplétude constitue un manquement en soi.
  • La CNIL a sanctionné des défaillances identifiables par un audit de base : absence de registre, conservation excessive, défaut de sécurité.
  • Des outils comme Legiscope automatisent la cartographie des traitements, l’analyse d’écarts et la génération de plans d’action, réduisant le temps d’audit de 70 %.

Pourquoi conduire un audit RGPD

L’Art. 5(2) RGPD consacre le principe de responsabilité (accountability) : le responsable de traitement doit être en mesure de démontrer sa conformité. L’audit est le principal mécanisme permettant de produire cette preuve.

Les enjeux sont concrets :

Sanctions financières : les amendes pour non-conformité au RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5) RGPD). La CNIL a prononcé 42 sanctions en 2023, pour un montant cumulé de plus de 89 millions d’euros.

Risque opérationnel : une violation de données non anticipée peut paralyser les opérations et coûter des millions en gestion de crise, notification et indemnisation.

Confiance commerciale : dans les relations B2B, la preuve de conformité RGPD est devenue un prérequis dans les appels d’offres et les due diligences.

Les 10 étapes de l’audit RGPD

Étape 1 : Cadrer l’audit

Définissez le périmètre (toute l’organisation, un département, un traitement spécifique), les objectifs (conformité générale, préparation à un contrôle CNIL, intégration post-acquisition) et le calendrier. Constituez l’équipe d’audit : le DPO, un juriste, un référent IT et un représentant métier.

Étape 2 : Examiner le registre des traitements (Art. 30)

Le registre des traitements est le document fondateur. Vérifiez qu’il existe, qu’il est complet et à jour. Pour chaque traitement, le registre doit mentionner : les finalités, les catégories de données et de personnes concernées, les destinataires, les transferts hors EEE, les durées de conservation et les mesures de sécurité (Art. 30(1) RGPD).

La CNIL a sanctionné l’absence de registre à plusieurs reprises. Délibération n°SAN-2022-009 : la CNIL a constaté que plusieurs organismes ne disposaient pas d’un registre conforme à l’Art. 30, ce qui constituait un manquement autonome.

Étape 3 : Vérifier les bases légales (Art. 6)

Pour chaque traitement, contrôlez que la base juridique est identifiée, documentée et pertinente. Les six bases de l’Art. 6(1) RGPD sont : consentement (a), exécution d’un contrat (b), obligation légale ©, intérêts vitaux (d), mission d’intérêt public (e), intérêt légitime (f). Vérifiez que le consentement, lorsqu’il est la base retenue, remplit les conditions de l’Art. 7 RGPD.

Étape 4 : Évaluer les mentions d’information (Art. 13-14)

Les mentions d’information doivent être complètes, accessibles et cohérentes avec le registre. Vérifiez la présence de toutes les informations requises par les Art. 13 et 14 RGPD : identité du responsable, finalités, base légale, destinataires, durées, droits des personnes, coordonnées du DPO.

Étape 5 : Contrôler la gestion des droits des personnes (Art. 12-22)

Vérifiez que l’organisme dispose de procédures pour répondre aux demandes d’exercice de droits : accès (Art. 15), rectification (Art. 16), effacement (Art. 17), limitation (Art. 18), portabilité (Art. 20), opposition (Art. 21). Contrôlez les délais de réponse (un mois maximum, Art. 12(3)) et la traçabilité des demandes.

Étape 6 : Auditer la sécurité (Art. 32)

L’Art. 32 RGPD impose des mesures de sécurité adaptées au risque. Évaluez : le chiffrement, la pseudonymisation, la gestion des accès, les sauvegardes, les tests de résilience, la journalisation. Vérifiez l’existence d’une politique de sécurité des systèmes d’information (PSSI).

CNIL, Délibération n°SAN-2023-001 du 5 janvier 2023 : Cityscoot a été sanctionnée de 800 000 euros pour défaut de sécurité, notamment l’absence de chiffrement des données de géolocalisation des utilisateurs.

Étape 7 : Vérifier les relations avec les sous-traitants (Art. 28)

Chaque sous-traitant doit faire l’objet d’un contrat conforme à l’Art. 28 RGPD (DPA). Vérifiez l’existence et le contenu de ces contrats : instructions documentées, obligations de sécurité, sous-traitance ultérieure, restitution ou suppression des données en fin de contrat.

Étape 8 : Analyser les transferts hors EEE (Art. 44-49)

Identifiez tous les transferts internationaux de données et vérifiez que chacun repose sur un mécanisme conforme : décision d’adéquation, CCT, BCR ou dérogation Art. 49. Vérifiez l’existence de Transfer Impact Assessments pour les transferts basés sur les CCT.

Étape 9 : Examiner les analyses d’impact (Art. 35)

L’Art. 35 RGPD impose une analyse d’impact (AIPD) pour les traitements présentant un risque élevé. La CNIL a publié une liste de traitements nécessitant une AIPD. Vérifiez que les traitements à risque élevé ont fait l’objet d’une AIPD documentée et que les mesures de mitigation ont été mises en oeuvre.

Étape 10 : Rédiger le rapport et le plan d’action

Le rapport d’audit doit documenter : le périmètre, la méthodologie, les constats (conformité, non-conformité, recommandations), la cotation des risques et le plan d’action avec des échéances et des responsables. Ce rapport constitue une preuve de diligence au titre du principe de responsabilité (Art. 5(2) RGPD).

Automatiser l’audit avec Legiscope

Conduire un audit RGPD manuellement est chronophage : une organisation de taille moyenne consacre en moyenne 140 heures à un audit complet. Legiscope automatise les étapes les plus intensives :

  • Cartographie automatique des traitements à partir de l’infrastructure technique et des applications.
  • Analyse d’écarts automatisée comparant l’état actuel aux exigences du RGPD.
  • Génération du plan d’action priorisé par niveau de risque.
  • Suivi de la remédiation avec alertes et tableaux de bord.

Les organisations utilisant Legiscope réduisent leur temps d’audit de 70 % et disposent d’une documentation permanente de leur conformité.

FAQ

À quelle fréquence faut-il conduire un audit RGPD ?

La CNIL recommande un audit complet au minimum annuel, avec des revues intermédiaires trimestrielles sur les points critiques (sécurité, droits des personnes, transferts). Un audit ad hoc est également nécessaire en cas de changement significatif : nouveau traitement, nouveau sous-traitant, incident de sécurité, évolution réglementaire.

L’audit RGPD est-il obligatoire ?

Le RGPD n’impose pas explicitement un audit périodique. Cependant, le principe de responsabilité (Art. 5(2) RGPD) exige que le responsable de traitement soit en mesure de démontrer sa conformité. L’audit est le moyen le plus efficace de produire cette preuve. En pratique, la CNIL attend des organismes qu’ils puissent justifier de démarches régulières de vérification.

Qui doit conduire l’audit RGPD : interne ou externe ?

Les deux approches sont valides. Un audit interne, piloté par le DPO, offre une connaissance fine de l’organisation. Un audit externe apporte un regard indépendant et une expertise comparative. La CNIL valorise les audits externes indépendants comme preuve de diligence. Idéalement, alternez les deux approches.

Que vérifier en priorité lors d’un premier audit ?

Trois éléments sont critiques pour un premier audit : (1) l’existence et la complétude du registre des traitements (Art. 30), (2) la vérification des bases légales pour chaque traitement (Art. 6), et (3) la sécurité des données (Art. 32). Ces trois points concentrent la majorité des sanctions de la CNIL.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law

Cookie Consent Under GDPR and ePrivacy: Complete Guide
Data Privacy

Cookie Consent Under GDPR and ePrivacy: Complete Guide