(2) L'audit, un
outil d'amélioration de la protection de la vie privée
proposé par les DPA
Dans certains pays, le Commissaire à la Protection des
Données est l'auditeur.
Il peut s'agir d'une inspection. Ainsi le commissaire
espagnol dispose d'une unité d'inspection traitant
d'inspections « pour déterminer l'état de l'art
dans un secteur donné » par rapport à la
conformité à la loi de protection des DP.
L'audit peut aussi servir de cadre à une
éventuelle certification ultérieure mais aucune DPA ne
définit le schéma de certification.
a) L'Australie
Le modèle d'audit du Commissaire à la protection
des données s'accompagne de divers « guidelines »
sur des sujets transversaux (ex. archives).
L'auditeur « doit se faire un jugement sur ce qu'il est
raisonnable » dans les circonstances qui prévalent.
L'audit a vocation à être un exercice de
conseil et d'enseignement sur les changements nécessaires et la mise en
oeuvre à planifier.
Dans ce cas, l'audit n'est pas soumis à des standards
particuliers d'industrie ou de gouvernement.
Il demandera à ce que des actions de mise en
conformité soient appliquées dans un délai raisonnable
mais si l'organisation n'en est pas capable, il passera un accord pour que les
changements soient implémentés.
Le commissaire peut décider d'informer le Ministre
de son rapport.
Le cadre de l'audit fait appel à la notion de risque,
Privacy Audit Risk (PAR) i.e. que l'auditeur
n'identifie pas un traitement incorrect; de part sa nature qui demande
un jugement, l'audit de protection de la vie privée nécessitera
de se faire un avis sur les différents facteurs de risques en
fonction de la nature, de l'étendue et du timing de la
procédure.
Les facteurs de risques sont au nombre de trois
catégories :
Les risques liés à l'environnement de
l'organisation (1) ;
Les risques liés à l'absence de mise en oeuvre des
mesures et procédures et/ ou à leur suivi déficient
(2) ; Enfin les risques liés aux contrainte de la procédure
même d'audit (3).
(1) Le risque inhérent (IR) se
définit comme le risque que le traitement ne soit pas conforme en
raison de facteurs environnementaux. Ceux-ci doivent toujours être
considérés en premier par l'auditeur qui doit y porter une
attention particulière à :
-la vulnérabilité des informations
-la sensibilité
-la sensibilisation du personnel aux obligations
-la mise en oeuvre de politiques et procédures par le
management pour protéger les informations du personnel
-l'expérience et la compétence du personnel dans le
traitement des données
-l'ancienneté et la complexité du système
informatique
-la disponibilité de l'information et par quelle
quantité de personnel
-l'étendue des liens et interconnexions avec d'autres
systèmes
-l'étendue de la base de données
-l'état des traitements d'informations faits par des tiers
parties
-le niveau d'intervention manuelle dans le traitement de
données
(2)Les risques liés aux contrôles de
protection de la vie privée (PCR) : risques que des
contrôles mis en place dans l'organisation n'aient pas permis une mise en
conformité.
Deux éléments sont à
considérer : la mise en place de mesures et
procédures et leur application et suivi effectifs. Ces mesures doivent
être appliquées de manière continuelle.
| 
