DPO Associates offre des prestations d’audit LPD (Loi sur la Protection des Données).
A la base, l’audit d’un système recherche à obtenir une assurance raisonnable de la fiabilité des rapports financiers publiés par l’entreprise. Le responsable d’un tel audit est généralement un auditeur financier.
Si un système d’information existe et est utilisé pour le traitement d’informations financières importantes, l’auditeur financier doit évaluer l’incidence de l’environnement informatique sur l’audit. Si des connaissances spéciales sont requises, l’audit financier demandera alors l’aide d’un expert possédant ces compétences : l’auditeur informatique.
En résumé, l’auditeur financier apprécie la comptabilité, l’auditeur informatique apprécie l’environnement informatique et rapporte ses résultats (rapport d’audit IT) à l’auditeur financier qui en tiendra compte dans son rapport d’audit financier. Aussi, des faiblesses importantes relevées par l’auditeur IT dans les systèmes d’information auront-elles souvent des impacts importants sur les processus métiers.
Lors de la vérification de l’existence du système de contrôle interne (SCI) de l’entreprise, l’auditeur (non IT ou IT) doit adopter une attitude orientée risque. Pour cela, il doit apprécier les contrôles (évaluation des risques) au niveau des processus métiers, des applications IT, ainsi que des contrôles généraux IT (infrastructure nécessaire au fonctionnement des applications).
Exemples de risques IT : vol ou perte de données, erreurs de saisie, incendie, inondation, accès physiques ou accès logiques non autorisés, erreurs logiciels, erreurs humaines, virus et cyberattaques.
L’audit de la LPD analyse la conformité de la mise en œuvre concrète par l’entreprise des principes généraux de la LPD (principes juridiques) contenus notamment dans le code de bonne pratique du PFPDT pour la gestion de la protection des données. L’audit analyse notamment le respect des principes suivants : la licéité, la transparence, la proportionnalité, la finalité, l’exactitude des données, la communication transfrontière de données, la sécurité des données, l’enregistrement des fichiers et les droit d’accès et de procédure.
L’audit de la LPD examine également l’organisation de la LPD dans l’entreprise, ainsi que la sécurité des systèmes d’information sur le plan technique.
L’audit de DPO Associates a donc la capacité de réunir auprès d’un seul interlocuteur les trois domaines nécessaires dans la mise en œuvre de la protection des données en entreprise : juridique, management et technique.
Un audit de la LPD se déroulera typiquement en trois phases, selon les standards internationaux d’audit : (1) planification ; (2) analyse à proprement parler (dans le cadre de la LPD : analyse de non-conformité) ; (3) rapport proposant un plan de traitement des risques issus des non-conformités constatées.