Une évaluation de la conformité mesure le gap entre les exigences réglementaires ou les normes adoptées d'un secteur, et les politiques et procédures internes. Quels sont les critères d'évaluation ? Formation et sensibilisation, veille de l'évolution de l'environnement règlementaire, évaluation des données, des systèmes et des processus, évaluation des risques, réponse aux incidents, contrats, contrôles et audits.
Ne confondez pas une évaluation de la conformité avec une analyse d'impact pour la protection des données (AIPD). Une évaluation de la conformité mesure dans quelle mesure les pratiques (souvent déclarées) de l'organisation s'alignent sur les règlements et les standards du secteur.
Quand réalise-t-on une évaluation de la conformité ? Le conseil est de le faire sur une base régulière, mais généralement cette opération survient à l'occasion d'un incident lié à la sécurité et à la protection des données, ou en réponse à une requête d'une autorité de contrôle.
Cette évaluation peut être menée en interne si l'organisation dispose d'un service d'audit interne, ou par le DPO voire même par une personne désignée pour mener ce contrôle. Il peut être réalisé également par une tierce partie, un cabinet de conseil et d'audit.
La méthodologie d'évaluation repose sur des éléments subjectifs (entretiens avec les salariés concernés), ou par des mesures objectives (analyse des logs, des procédures, des contrats, etc.).
L'évaluation donne lieu à des documents présentés à l'approbation de la direction, à des recommandations permettant d'améliorer ou de rénover certains programmes, à la présentation de plans d'action permettant de piloter la démarche d'amélioration continue.