Nos services - Audit

L’audit est un outil permettant d’évaluer l’efficacité des processus de gestion de la protection des données au sein de votre organisation de façon objective, indépendante et documentée. Il est en outre l’outil de référence pour démontrer que, lorsque vous confiez des opérations de traitement de données personnelles à des sous-traitants, ces derniers sont à même de garantir la sécurité et l’usage légitime des données que vous leur confiez, ainsi que le maintien des droits fondamentaux des personnes.

Quelle méthode d’audit pratiquons-nous ?

Pour atteindre son objectif, et quel que soit son périmètre, un audit doit être mené de façon méthodique, et en respectant des principes déontologiques. Les membres de notre équipe qui prennent en charge des missions d’audit sont formés à la pratique d’audit mettant en œuvre les lignes directrices pour l’audit des systèmes de management de l’ISO 19011 :2018.

Notre méthode est basée sur :

  • La prise de connaissance préalable approfondie du fonctionnement de l’organisation et des processus métiers impliqués dans le processus de conformité.
  • La prise en compte de la taille, de la complexité, du type de risques et d’opportunités et du niveau de maturité du système de gestion de la conformité de l’organisme à auditer.
  • La définition des objectifs, du périmètre et du référentiel sur lesquels l’audit sera fondé.
  • Les modalités de conduite de l’audit (entretiens à mener, revues documentaires, audit sur site, audit à distance, ou une combinaison des deux).
  • L’approche par les risques pour la planification.
  • La communication avant, pendant et après l’audit.
  • La définition des livrables de l’audit : plan d’audit, ouverture, suivi et clôture, rapport d’audit, restitution des conclusions à la direction de l’organisme.

Les principes déontologiques appliqués sont:

  • Compétence, éthique, honnêteté et responsabilité
  • Restitution impartiale
  • Conscience professionnelle
  • Confidentialité
  • Indépendance
  • Approche fondée sur la preuve
  • Approche par les risques

Nous avons l’expérience de la conduite d’audit internes (dits de première partie) ou de sous-traitants (dits de seconde partie) sur des périmètres et pour des tailles ou types d’organismes variés, par exemple : éditeurs de logiciels de santé, centres d’investigations sur volontaires sains, centres de ressources biologiques, entrepôts de données de santé, organismes de recherche internationale, sociétés de biotechnologies, en France, en Europe et aux États-Unis.

Nous contacter

Sur quels référentiels pouvons-nous intervenir ?

 
 

La norme ISO 27701 : il s’agit de la norme de référence pour des organismes devant répondre à une exigence de mise en œuvre d’un système de gestion de la protection ou de la vie privée et de la sécurité des données, déployé par un DPO ou par un comité interne de gouvernance de la conformité de l’organisme. Ce référentiel intègre le système de gestion de la protection des données personnelles ou de la vie privée (de façon générique) ainsi que le système de gestion de la sécurité de l’information (ISO 27001).

Votre politique de protection des données : dans le cas où votre organisme a mis en place une telle politique, nous prenons en compte les exigences adoptées par votre organisme dans le cadre de cette politique, ainsi que les règles de gouvernance de la protection des données que vous avez fixées et les règles que vous avez intégrées aux exigences de vos métiers et fonctions internes.

Un référentiel d’exigences sur mesure : si votre organisme est encore éloigné des exigences d’un système de gestion de la protection ou de la vie privée et de la sécurité des données selon ISO 27701, nous adaptons notre référentiel d’audit pour prendre en compte le niveau de maturité de base et en cible de votre organisme dans chacun des domaines de conformité qui lui sont applicables.

Nous avons intégré au référentiel ISO 27701 les exigences spécifiques au RGPD européen et à la nFADP suisse, et prévoyons d’intégrer d’autres législations de protection des données ou de la vie privée. Nous inscrivons nos prestations d’audit dans le cadre de l’évaluation de conformité interne ou de sous-traitants. Nous ne sommes pas accrédités pour réaliser des audits de certification. L’approche de l’audit interne peut néanmoins constituer une évaluation de vos écarts par rapport à un référentiel certifiant, et un point de départ en vue d’une future certification par un organisme accrédité.

Audit de conformité interne

 

Nous prenons en compte, en plus du référentiel principal de l’audit, les exigences découlant des interactions avec d’autres législations ou autres normes ou référentiels de droit souple auxquelles votre organisme est peut-être soumis ou qu’il a choisi d’appliquer :

Pour le domaine de la recherche en santé, l’ICH GCP E6 et toutes législations applicables, par exemple :

  • Le Règlement européen sur les essais cliniques de médicaments à usage humain UE 536/2014.
  • Le Règlement européen relatif aux dispositifs médicaux UE 745/2017.
  • Les Méthodes de Référence (MR) de la CNIL en France, relatives aux recherches dans le domaine de la santé.
  • La norme ISO 20387:2018 relative aux activités de « biobanking ».
  • etc.
 

Pour le domaine de la santé :

  • Les référentiels de santé applicables : par exemple le référentiel d’Hébergeur de Données de Santé et les Référentiels Santé (RS) de la CNIL en France, le référentiel des Systèmes d’Information de télémédecine, etc.
  • Les référentiels de Cyber Sécurité applicables ou souhaités : la directive européenne NIS2, les Cyber Essentials du Royaume-Uni, les référentiels de Sécurité des Données de la CNIL en France, etc.

 

Nous pouvons vous aider à préparer votre plan d’audit en fonction de votre cadre législatif et de « droit souple » applicable, et de votre contexte particulier. N’hésitez pas à nous consulter pour vos besoins spécifiques.

Audit de sous-traitant

 Nous travaillons en amont avec votre organisme pour :
  • Comprendre vos objectifs (audit de sélection, audit pour cause, audit de routine).
  • Analyser le périmètre et la nature des opérations de traitement de données personnelles sous-traitées.
  • Analyser les déviations, vulnérabilités et risques éventuellement détectés dans le cas où les opérations de traitement de données personnelles sous-traitées sont déjà en production.
  • Proposer le plan d’audit en prenant en compte tous ces éléments.

 

Pour les fournisseurs de services à la recherche cliniques (« CROs »), nous pouvons mener un audit se basant sur le Code de Conduite RGPD de la Fédération Européenne des CROs (EUCROF), pour ceux qui ne sont pas encore certifiés ou n’ont pas encore adhéré à ce code de conduite adopté en Juin 2024 par le Comité Européen de Protection des Données (EDPB).

Pourquoi choisir ?

 

Nos auditeurs(trices) disposent de l’expertise requise pour assurer une mission d’audit, incluant la connaissance approfondie des législations et de droit souple applicables, des métiers de la recherche et de la santé, et des technologies afférentes.

Nos auditeurs(trices) sont formés(es) et expérimenté(es) à la méthode d’audit de l’ISO 19011 :2018.

Nous pouvons constituer une équipe d’audit incluant une expertise juridique ainsi qu’une expertise relative à la gestion de la sécurité de l’information (selon ISO 27001).

Alcoam by Design est un cabinet de conseil dédié aux services de DPO, d’audit et de conseil en protection des données dans le domaine de la santé. Nous n’avons pas d’autre intérêt que de délivrer ces services. Notre croissance est basée exclusivement sur le « bouche à oreille », ce qui nous impose de mener chaque mission avec professionnalisme.

Alcoam by Design a établi des règles internes dans la gestion de son portefeuille de clients et des services, afin de prévenir toute possibilité de conflits d’intérêts ou de conflits d’obligations.

Nos autres services pour la protection des données de santé

DPO/DPD

Délégué à la protection des donnéesDPD/DPO

En savoir plus >

Formation aux données personnelles de santé & vie privée

En savoir plus >

Gestion des risques pour la sécurité de l’information et la vie privée

En savoir plus >

Et d’autres services à découvrir

Nous faire confiance pour votre besoin de conformité en protection des données personnelles et de la vie privée en santé :

Vous avez une question ponctuelle de protection des données en santé ? Posez-nous votre question, nous y répondrons volontiers et sans frais pour vous.
Vous souhaitez être mis en contact avec une personne de notre réseau de clients ou de partenaires pour avoir un retour d’expérience de nos services, en toute confidentialité ?
Vous avez besoin d’en savoir plus sur notre entreprise : nos méthodes de travail, outils et bases de connaissance du métier, notre capacité à répondre à vos besoins et à vos projets ?

Entrer en contact

Toutes les modalités de nos échanges avec vous sont régulées par notre politique de confidentialité et de protection des données personnelles.

31 Av. Mirabeau, 78000 Versailles
+33 (0)1 84 73 20 89

Contactez-nous
Linkedin-in