Data Privacy

Audit RGPD : méthodologie complète et livrables 2026

Audit RGPD : méthodologie en 6 étapes, périmètre, gap analysis, plan de remédiation. Modèles de questionnaires et coûts 2026.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. Un audit RGPD est une démarche structurée d’évaluation de la conformité au règlement, généralement réalisée en 6 étapes (cadrage, recensement, gap analysis, évaluation des risques, plan de remédiation, restitution). Sa durée moyenne pour une ETI de 250 à 1 000 personnes : 6 à 12 semaines. Son coût : 15 000 à 80 000 € selon le périmètre et le niveau de détail. Il constitue l’outil de référence pour préparer un contrôle CNIL, démontrer la conformité d’un fournisseur, ou structurer un projet de mise en conformité.

L’audit RGPD n’est pas une obligation explicite du règlement, mais c’est la preuve principale d’accountability (article 24). Sans audit récent, démontrer la conformité en cas de contrôle CNIL devient quasi impossible. Cet article détaille la méthodologie pas à pas, avec livrables types et erreurs fréquentes.

Pour les sujets liés : registre des traitements modèle Excel, contrôle CNIL, article 6 RGPD.

Points clés

  • L’audit RGPD couvre 6 dimensions : gouvernance, traitements, droits, sécurité, sous-traitants, transferts.
  • Durée typique 6-12 semaines pour une ETI, coût 15-80 k€.
  • L’output principal : un plan de remédiation chiffré et planifié, pas un rapport descriptif.
  • Audit interne ≠ audit externe — l’externe a plus de poids en cas de contrôle CNIL.
  • À refaire tous les 2-3 ans ou après changement majeur (nouvelle activité, fusion, incident).

1. Pourquoi auditer ?

Cinq déclencheurs typiques :

  1. Préparation à un contrôle CNIL (préventif ou suite à alerte)
  2. Due diligence M&A (acquisition d’une cible, valorisation du risque RGPD)
  3. Exigence client B2B (notamment grands comptes et secteur public)
  4. Suite à incident (violation de données, plainte, mise en demeure)
  5. Renouvellement périodique (gouvernance, accountability)

2. Périmètre de l’audit

À cadrer dès le départ :

  • Géographique : siège, filiales, sites
  • Fonctionnel : RH, marketing, IT, ventes, etc.
  • Applicatif : SaaS, internes, partenaires
  • Profondeur : audit de conformité documentaire vs audit terrain avec tests techniques

Un audit complet d’une ETI inclut typiquement 50 à 150 traitements et 20 à 80 sous-traitants.

3. Méthodologie en 6 étapes

Étape 1 — Cadrage (1 semaine)

Réunion de lancement, validation du périmètre, désignation des interlocuteurs (DPO, DSI, RH, métiers), planification.

Étape 2 — Recensement (2-3 semaines)

Inventaire de l’existant :

  • Registre des traitements (RT)
  • Politique de confidentialité
  • Mentions d’information
  • Contrats sous-traitants (DPA)
  • AIPD réalisées
  • Politiques internes (charte IT, BYOD, accès)
  • Registre des violations
  • Procédures droits des personnes
  • Cartographie SI

Étape 3 — Gap analysis (2-3 semaines)

Comparaison existant vs exigences RGPD. Référentiel typique :

  • Articles RGPD obligation par obligation
  • Lignes directrices EDPB applicables
  • Recommandations CNIL (mots de passe, sécurité, cookies, etc.)
  • Doctrine CNIL (délibérations notables, rapport annuel)

Étape 4 — Évaluation des risques (1-2 semaines)

Cotation des écarts en risque :

  • Probabilité d’occurrence
  • Gravité pour les personnes concernées
  • Exposition réglementaire (probabilité de contrôle, sanction CNIL)

Matrice 5×5 classique. Les écarts critiques (forte probabilité × gravité élevée) deviennent priorité 1.

Étape 5 — Plan de remédiation (1-2 semaines)

Pour chaque écart : action recommandée, responsable, charge, planning, coût. Priorisation P1/P2/P3 :

  • P1 — Critique : à corriger immédiatement (risque sanction élevé)
  • P2 — Important : 3-6 mois
  • P3 — Amélioration : 6-12 mois

Étape 6 — Restitution (1 semaine)

Présentation au COMEX / Comité de direction, livrables remis :

  • Rapport d’audit (50-150 pages)
  • Plan de remédiation (Excel ou outil de pilotage)
  • Synthèse exécutive (5-10 pages)
  • Présentation COMEX (15-30 slides)

4. Les 6 dimensions d’audit

Dimension Articles RGPD clés Livrables vérifiés
Gouvernance 24, 37-39 DPO, politique de confidentialité, comité RGPD
Traitements 5, 6, 30 Registre, bases légales, finalités
Droits 12-22 Procédures, délais, formulaires
Sécurité 32, 33-34 Politiques, mesures techniques, gestion incidents
Sous-traitance 28 DPA, audit fournisseurs
Transferts 44-49 SCC, BCR, analyse Schrems II

5. Audit terrain vs audit documentaire

Type Profondeur Coût Pertinence
Audit documentaire Revue des documents 10-25 k€ Préliminaire
Audit conformité Documents + entretiens 25-50 k€ Standard
Audit terrain + tests techniques, observation 50-100 k€ Préparation contrôle CNIL
Audit certification + selon référentiel (ISO 27701, BCR) 80-200 k€ Démarche certification

6. Tests techniques associés

Pour un audit complet, inclure :

  • Test de sécurité : pentest applicatif, audit code, scan vulnérabilités
  • Test de cookies : conformité du bandeau, traceurs réels déposés
  • Test droits des personnes : envoi de demandes test (anonymisées)
  • Test de mots de passe : politique réelle, hachage, MFA
  • Audit logs : qualité, conservation, accès

Ces tests représentent 20 à 30 % du budget total mais apportent une valeur probante très supérieure à la simple revue documentaire.

7. Audit des sous-traitants

L’article 28 RGPD impose au responsable de traitement de vérifier ses sous-traitants. L’audit inclut :

  • Inventaire des sous-traitants (typiquement 20-80 pour une ETI)
  • Vérification des DPA signés
  • Classification par risque (criticité, volumes, sensibilité)
  • Audit approfondi des sous-traitants critiques (top 5-10)
  • Vérification des transferts internationaux

Voir notre guide article 28 RGPD.

8. Audit interne vs externe

Critère Audit interne Audit externe
Coût Temps DPO (équivalent ~5-15 k€) 15-80 k€
Indépendance Faible Forte
Profondeur Variable Méthodologie cadrée
Opposabilité CNIL Faible Bonne
Recommandations Connaissance interne Benchmark sectoriel

Recommandation : audit externe tous les 2-3 ans, audit interne annuel pour suivre le plan de remédiation.

9. Coûts détaillés 2026

Taille organisation Audit documentaire Audit complet
TPE (< 50 pers.) 5-12 k€ 15-25 k€
PME (50-250) 12-25 k€ 25-50 k€
ETI (250-5000) 25-50 k€ 50-100 k€
Grand groupe 50-150 k€ 100-500 k€

Facteurs de variation : nombre de filiales, langues, complexité applicative, secteur réglementé.

10. Erreurs fréquentes

  1. Audit purement documentaire sans entretien métier ni terrain
  2. Pas de cotation de risques — rapport trop descriptif, illisible pour le COMEX
  3. Plan de remédiation non chiffré — impossible à arbitrer
  4. Audit one-shot non suivi — l’audit doit déclencher un cycle d’amélioration
  5. Pas de validation COMEX — le plan reste lettre morte
  6. Confusion audit / mise en conformité — l’audit identifie, ne corrige pas

11. Audit et préparation au contrôle CNIL

Un audit récent (< 18 mois) est l’actif principal en cas de contrôle CNIL :

  • Démontre l’accountability (article 24)
  • Documente les choix de conformité
  • Fournit l’historique des actions correctives
  • Atténue les sanctions (jurisprudence CNIL : un audit suivi de remédiation peut diviser la sanction par 2-3)

Voir notre guide contrôle CNIL.

12. Articulation avec ISO 27701 et BCR

Un audit RGPD peut être conduit dans une perspective de certification :

  • ISO 27701 : extension RGPD de la norme ISO 27001
  • BCR (Binding Corporate Rules) : pour les groupes multinationaux
  • Code de conduite sectoriel approuvé par l’EDPB

Ces démarches transforment l’audit ponctuel en système de management continu.

FAQ

Combien de temps dure un audit RGPD ?

Pour une PME : 4-6 semaines. Pour une ETI : 6-12 semaines. Pour un groupe : 3-6 mois. La durée dépend du périmètre (nombre de sites, de filiales, de processus), de la disponibilité des interlocuteurs, et de la profondeur souhaitée.

Qui peut réaliser un audit RGPD ?

  • En interne : le DPO ou un service conformité formé
  • En externe : cabinet d’avocats spécialisé, cabinet de conseil RGPD, big four (KPMG, EY, Deloitte, PwC), DPO externalisé

Pour les audits à forte exposition (contrôle CNIL, M&A), préférer un cabinet externe indépendant pour la valeur probante.

Faut-il auditer chaque sous-traitant individuellement ?

Non. Approche par les risques recommandée par la CNIL : audit approfondi des sous-traitants critiques (top 5-10 par volumes, sensibilité, dépendance), audit documentaire pour les autres (DPA, certifications, références).

À quelle fréquence renouveler l’audit RGPD ?

Audit complet tous les 2-3 ans ou immédiatement après : changement majeur d’activité, fusion-acquisition, incident de sécurité, nouvelle obligation réglementaire majeure, plainte CNIL. Audit annuel léger (suivi du plan) entre deux audits complets.

Un audit RGPD prouve-t-il la conformité à la CNIL ?

Non automatiquement, mais il démontre la démarche d’accountability (article 24 RGPD). En cas de contrôle, présenter un audit récent + plan de remédiation suivi est un facteur d’atténuation significatif. À l’inverse, absence d’audit = aggravation quasi-systématique.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →