Titre IX.
(3)Risques liés à la conformité de l'audit (CAR) : Il
s'agit du fait que les procédures de confirmation d'audit puissent
échouer dans la détection de non-conformité en raison des
risques dus à la procédure tels que le temps limité de
l'audit ou bien la méthode d'échantillon.
a) Pays Bas
Plusieurs produits ont été développés
par le « Co-operation Group Audit Strategy » pour
que des organisations soient en mesure de vérifier par elles
mêmes leur propre situation vis-à-vis du Data Protection
Act, de manière plus ou moins profonde selon leurs objectifs.
Ces outils s'adressent à la fois aux auditeurs et aux
audités : un « quick scan », une
auto-évaluation et enfin un cadre d'audit.
Le cadre d'audit proposé en ligne par l'autorité de
protection des données est un outil proactif, non intrusif,
ayant pour objectif de développer la conscience et de préparer un
audit (sur la sécurité ou autre).
Le cadre pour audit de protection de la vie privée est un
outil complet rédigé pour des auditeurs responsables de la mise
en oeuvre de l'audit.
Bien qu'il soit prévu de définir les
critères d'un standard, rien n'a encore été
précisé à ce jour. Les règles
énoncées restent donc à l'état de principes et
mesures très détaillées à la fois pour les DP
basiques et pour les DP sensibles.
Le cadre d'audit prévoit la possible
création de labels.
Signalons enfin que le commissaire de la protection des
données peut aussi déclencher des « PETs
Scan » et des « Privacy Site Visits ».
b) Royaume Uni
L' ICO propose une méthodologie d'audit de
conformité.
Il distingue d'une part un « audit
d'adéquation », d'autre part un « audit de
conformité ».
L'audit d'adéquation porte sur la
conformité des documents de l'organisation (codes de
pratiques, guidelines, procédures) au Data Protection Act. Cette
première partie peut être conduite en dehors du site ou de
manière interne à l'organisation.
L'audit de conformité vise
à vérifier, en pratique et sur place, les règles
décrites dans les documents.
Certaines catégories de personnes sont à risque en
raison de leur insécurité physique :
-Personnes sous la menace directe de violence;
-Célébrités, notoriétés et
VIPs;
-Personnes qui ont un rôle sensible dans la
sécurité physique
- Personnes vulnérables (ex. mineurs ; sans
abris ; anciens prisonniers ; réfugiés...).
L'outil de l'ICO est très
pédagogique, facile à comprendre et à utiliser y
compris pour les PME. Il comprend des parties sur les
caractéristiques de l'audit, la procédure et un guide pratique de
conseils et assistance.
En prévoyant une première étape avec un
audit d'adéquation, les organisations ont la possibilité de
s'auto-évaluer avant de s'engager dans un audit de conformité, ce
qui devrait limiter le coût total de l'évaluation.
| 
