Contrôles de conformité dans un audit

Dans le cadre d’audits de systèmes de management légaux ou réglementaires de toute nature, il est primordial de prendre en compte les contrôles de conformité préalablement identifiés pour atténuer les risques détectés dans l’entité.

Dans cet article, nous utiliserons la protection des données personnelles et la conformité pénale comme exemple de systèmes de gestion.

À titre d’exemple, mais sans s’y limiter, nous examinerons certains de ces contrôles, qui sont soit mis en œuvre dans le but d’atténuer les risques associés à l’utilisation de renseignements contenant des données personnelles, soit constituent une série de contrôles visant à atténuer le risque de perpétration d’actes criminels qui ont déjà été identifiés comme ayant leur place dans une organisation.

Un grand nombre de ces contrôles s’appliqueront aux deux réglementations, en particulier celles relatives au crime de découverte et de divulgation de secrets (art. 197 du Code pénal) : «Quiconque, dans le but de découvrir les secrets ou de violer la vie privée d’autrui, saisit, sans son consentement, ses papiers, lettres, courriers électroniques ou tout autre document ou effet personnel, intercepte ses télécommunications ou utilise des dispositifs techniques d’écoute, de transmission, d’enregistrement ou de reproduction du son ou de l’image, ou de tout autre signal de communication, est passible d’un emprisonnement d’un à quatre ans et d’une amende de douze à vingt-quatre mois”. De toute évidence, un comportement criminel implique la divulgation d’informations qui contiennent des données personnelles dans la plupart des cas.

Dans ce contexte, nous pourrions identifier les contrôles suivants comme étant efficaces :

• Procédure d’enregistrement/annulation/modification des employés.- Procédure qui consiste à maintenir à jour l’accès aux informations d’un employé à la fois lorsqu’il commence à faire partie de l’entreprise et lorsqu’il la quitte.
• Contrôles d’accès physiques aux installations et aux fichiers.- Dans ce cas, nous nous référons au maintien d’un système d’accès contrôlé par l’utilisation de clés, de cartes ou de données biométriques qui rendent impossible pour tout employé ou membre externe de l’organisation d’accéder à toutes les informations de l’entité qui se trouve dans ses installations.
• Signature de l’engagement de confidentialité par l’ensemble des collaborateurs.– Conformément à ce qui précède, il est important que tous les travailleurs s’engagent à agir avec le maximum de confidentialité et de diligence en ce qui concerne les informations qu’ils traitent sur leur lieu de travail.
• Numérisation de la documentation physique.- Ce contrôle vise à maintenir un double fichier de documentation physique de manière à assurer sa conservation au format numérique.
• Formation des employés.- Au-delà de la formation requise par la loi, telle que la prévention des risques professionnels, il est nécessaire que le personnel connaisse les notions minimales et les directives d’action liées à la protection des données et, en cas de mise en œuvre d’un système de gestion des risques criminels, celles liées à la conformité pénale.
• Cryptage et suppression des informations.- Dans ce cas, il s’agit d’essayer de crypter les informations, en évitant toute violation de la sécurité à partir du moment où elles sont envoyées jusqu’à ce qu’elles atteignent le destinataire final. Et, d’autre part, et en faisant allusion dans ce cas aux dispositions du Règlement général européen sur la protection des données, supprimer toutes les informations qui sont superflues et inutiles au regard des finalités pour lesquelles elles ont été collectées à l’époque, évitant ainsi qu’elles ne soient révélées illégalement.

Lors de la réalisation d’un audit de l’une des deux réglementations susmentionnées, des preuves des contrôles que nous avons vus ci-dessus seront demandées. Ces éléments probants doivent être présentés à l’équipe d’audit de manière claire et précise, et être mis à jour. Il est à noter que les contrôles appliqués sont efficaces pour atténuer le risque pour lequel ils ont été choisis. La non-divulgation des éléments probants demandés par l’équipe d’audit entraînera une série de « non-conformités » ou de « mises en garde » dans le « rapport d’audit » qui se traduiront par un résultat négatif pour l’organisation.

Chez GlobalSuite Solutions , nous disposons du logiciel GlobalSuite®, entièrement développé par notre équipe, qui permet la mise en œuvre, la gestion et la maintenance de toutes les exigences exigées par les normes du système de gestion dans tous les types d’organisations et de secteurs. Disposer d’un logiciel qui permet d’automatiser la gestion de ce système apportera de multiples avantages à votre entreprise lorsqu’elle travaillera à l’implantation du système dans votre organisation. En outre, nous offrons l’aide et les conseils nécessaires à la mise en œuvre d’un service de conformité pénale ou de protection des données.