L'expert en gestion et sécurisation
du patrimoine informationnel
Choisir un diagnostic ou un audit CNIL

Connaître le niveau de maturité de son entreprise ou organisme quant aux obligations de la loi informatique et Libertés modifiée du 6 janvier 1978 est une démarche importante, qui permet de mettre en marche la mise en conformité CNIL.

Avant d’arriver à la conformité une procédure d’audit doit être réalisée.

Un diagnostic, le premier pas dans l’aventure « Informatique et Libertés »…


La loi du 6 janvier 1978 modifiée dite loi « informatique et Libertés » pose les principes fondamentaux nécessaires à la sauvegarde de la vie privée des personnes physiques. Une pléiade d’obligations et de droits émanent de cette législation peu connue et mal maîtrisée. Tous domaines d’activités confondus, la sensibilité des dirigeants concernant les problématiques CNIL est « à géométrie variable ». Comment aborder ce chantier ?

L’entrée dans une telle démarche de respect de la législation peut être le diagnostic, procédé différent de la procédure d’audit. Un diagnostic est posé grâce à l’analyse de plusieurs symptômes. Dans le cas du diagnostic Informatique et Libertés, il est question d’analyser point par point les axes d’intérêts quant aux problématiques CNIL et d’établir par la suite un état de maturité de l’organisme. Les points abordés sont nombreux puisque l’intégralité du champ de la loi est analysée : passant de la sécurité physique à la sécurité juridique, vérifiant les conditions de licéité des traitements mis en œuvre, la tenue de l’état des traitements et les procédures internes existantes afin de répondre aux droits des personnes, la procédure de diagnostic aborde en surface les points de vigilance et aboutit au conseil des mesures qu’il serait bienvenues de mettre en œuvre. Le temps de réalisation du diagnostic est variable, car dépendant de la structure de l’organisme, du nombre de collaborateurs, d’antennes et de points d’entrée de l’information. Pour les structures les plus petites, une journée d’intervention sur place est nécessaire, hors phase de préparation et de rédaction du rapport. Pour les structures les plus importantes, trois à quatre jours d’intervention suffisent en fonction du secteur visité.

Le rapport rédigé suite au diagnostic met en exergue les points de conformité et de non-conformité les plus flagrants en respect de l’état de l’Art en matière de confidentialité. Les informations transmises par l’organisme restent strictement contractuelles et ne sont aucunement réutilisées à posteriori. La signature d’un engagement de confidentialité en double exemplaire à destination tant du client que du prestataire, fige cette obligation à la fois éthique et légale. La relation contractuelle est sécurisée juridiquement par le biais de la signature d’un tel document.


L’audit, la concrétisation du projet de mise en conformité avec les obligations Informatique et Libertés.

L’audit est plus poussé : l’intégralité des modalités d’application de la législation sont observées, analysées et vérifiées. Il est question de faire le bilan des points de conformité et de non-conformité et d’aboutir à la proposition de solutions concrètes pour pallier aux manquements. Il peut faire suite à la réalisation d’un diagnostic mais ce n’est pas obligatoire, la démarche peut tout à fait commencer d’emblée lorsqu’elle est initiée par des professionnels. Bien sûr, cette procédure est plus lourde et plus longue que la précédente, il n’est pas envisageable de réaliser un audit en une journée unique d’intervention pour l’ensemble d’un organisme. Il serait possible cependant d’imaginer un audit partiel : sur un service en particulier, mais il est nécessaire au préalable de déterminer le secteur d’activité du service choisi : l’audit du service des Ressources Humaines durera plus longtemps que l’audit à réaliser dans un service d’audit interne ou financier par exemple.

Il existe différents champs d’application lors d’une prestation d’audit, il peut s’agir de l'Audit d’un ou de plusieurs traitements de données à caractère personnel déjà déclarés auprès de la CNIL ou du CIL, pour confirmer ou infirmer que le ou les traitements sont bien conformes à la déclaration, l'audit par rapport au référentiel qu'est la loi N° 78-17 modifiée, l'audit de prestataires (sous-traitants) mettant en œuvre des traitements de données à caractère personnel pour le compte du Responsable de Traitement, ce dernier continuant de porter le ‘Risque Pénal Informatique et Libertés’ ou encore l'audit de la politique de sécurité du système d’information. Après étude approfondie de la demande du client, une offre adaptée est proposée.

De la même façon que pour la réalisation d’un diagnostic et en règle générale en ce qui concerne tout recours à un sous-traitant, un engagement de confidentialité sera signé par les deux parties en début d’intervention.

Bien que la loi n’impose pas à ce jour la réalisation de diagnostic ou d’audit CNIL, il est fondamental de comprendre l’intérêt de ces démarches. Le domaine d’action est particulièrement spécialisé, et la seule lecture de la loi ou la consultation du site de la Commission Nationale de l’Informatique et des Libertés n’est pas suffisante dans certains cas. De plus, la personne en charge du dossier CNIL, même en obtenant le temps et les moyens, ne sera pas systématiquement dédiée exclusivement à cette mission. Aujourd’hui, il est courant de constater que la gestion du dossier CNIL est une mission en sus du poste habituel de la personne choisie ; la conscience que le travail de Correspondant Informatique et Libertés ou en tout cas de la personne à qui l’on demande de s’atteler au dossier de mise en conformité avec les obligations de la CNIL, n’est pas acquise. Il s’agit d’un métier à part entière.


Nos différentes prestations d'audit CNIL 

En fonction des objectifs retenus et des résultats attendus par nos clients, nous proposons :
- l'Audit d’un ou des traitements de données à caractère personnel déjà déclarés auprès de la CNIL ou du CIL pour confirmer ou infirmer que le ou les traitements sont bien conformes à la déclaration (Risque Pénal le cas contraire);
- l'Audit par rapport au référentiel qu'est la loi N° 78-17 modifiée;
- l'Audit de prestataires (sous-traitants) mettant en œuvre des traitements de données à caractère personnel pour le compte du Responsable de Traitement, ce dernier continuant de porter le ‘Risque Pénal Informatique et Libertés’;
- l'Audit de la politique de sécurité du système d’information

Demander un audit ou un diagnostic ...




ACTECIL - 2, Place du Maire Wendling - 67590 SCHWEIGHOUSE-SUR-MODER - Tél : +33(0)9.722.722.93 (appel local) / +33(0)6.27.30.15.02