Catégorie : Conformité RGPD > A - SE PRÉPARER AU RGPD > A1 - Vue d'ensemble | |||
---|---|---|---|
Sujet10 thèmatiques à prendre en compte pour votre conformité RGPD | |||
Contenu1. DESIGNER LES PILOTESDésigner une personne interne responsable de la conformité Désigner si besoin votre Délégué à la Protection des Données (DPO) 2. INVENTAIRE -> CARTOGRAPHIE -> REGISTRE DES TRAITEMENTSIdentifier chaque donnée personnelle présent dans votre système d’information : fichiers, base de données, mails, papier Pour chacune, documenter de façon précise et détaillée à quel processus métier elle appartient (traitement), qui est le responsable de traitement, quelles sont les personnes concernées, les autres données traitées, les finalités pour lesquelles ces données sont traitées, les lieux de stockage, quels services effectuent les traitements, avec quels sous -traitants, pour quelle durée elles sont conservées ; déterminer les mesures de sécurité et de confidentialité mises en place. Il s’agit d’identifier tant les traitements pour lesquels vous êtes responsable de traitement, que ceux pour lesquels vous êtes sous-traitant. Rédaction du registre des traitements (selon des modèles ou référentiels édités par la CNIL) 3. PIA : AUDITS D’IMPACTS, GESTION DES DONNEES SENSIBLESPour chaque traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (ceux comportant des données sensibles, un grand nombre de données, ou traités hors UE), mise en œuvre de mesures d’études d’impact (PIA) Suite à ces études, définition des mesures techniques et organisationnelles permettant un niveau de sécurité adapté aux risques encourus. 4. IDENTIFICATION ET PRIORISATION DES ACTIONS A MENERSur la base de la cartographie et des PIA, comparaison par rapport à la norme et identification des principales tâches de mise en conformité à réaliser concernant les aspects techniques / juridiques / organisationnels : documentation commerciale, contrats avec les sous-traitants, réduction des durées de conservation, outils adaptés aux transferts de données réalisés, etc. Etablissement d’un plan projet des actions de conformité à mener. 5. PLANIFICATION DE L’ORGANISATION DE LA SECURITE DES DONNEESSuite à la cartographie et aux PIA, passage en revue des 24 points du REFERENTIEL ANSSI concernant la confidentialité et la sécurité des données : pour chaque point, identification des défaillances, mise en place et chiffrage du plan de mise en conformité 6. PLANIFICATION DE DE LA GESTION DU RESPECT DES DROITS DES PERSONNESSuite à la cartographie et aux PIA, passage en revue des 8 droits octroyés par le RGPD (droit d’information, de consentement, d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement) ; pour chaque point, identification des défaillances, mise en place et chiffrage du plan de mise en conformité 7. ORGANISER DES PROCESSUS INTERNES (PROCESSUS CONTINU)Identification des personnes à même de faire remonter les informations pertinentes des différents services ; Formation des personnes identifiées ; Définition des procédures de notification des failles de sécurité ; Définition des procédures de gestion des demandes d’accès, de rectification et de suppression des données ; Définition des procédures de gestion des demandes de portabilité ; Définition des procédures de gestion des réclamations ; Définition des procédures de tenue et mise à jour du registre des traitements ; Définition des procédures permettant d’impliquer les bonnes personnes pour réaliser les bonnes opérations (PIA, principes de « data privacy by design » et de minimisation) lors de la mise en place d’un nouveau traitement ; Rédaction et diffusion des procédures permettant aux personnes dont les données sont traitées d’exercer leurs droits y compris leur droit à la portabilité des données ; Définition et mise en œuvre des mesures et procédures de sécurité (pseudonymisation, chiffrement, moyens permettant de garantir la confidentialité, de rétablir la disponibilité, de tester, analyser et évaluer les mesures mises en place) ; Transferts hors Union Européenne encadrés par les outils adéquats (BCR, Privacy Shield, clauses contractuelles types) ; Rédaction et diffusion des politiques de confidentialité clients et employés Définition des procédures d’audit de conformité interne : tests, monitoring, contrôles, audits. 8. AMELIORER LA SECURITE ET LA CONFORMITE (PROCESSUS CONTINU)Pour chacun des 24 points du référentiels ANSSI « Confidentialité et Sécurité », mise en place de projets d’amélioration Mise en place et suivi continu des tests, monitoring, contrôles, audits Adaptation des procédures aux nouveaux process et logiciels ; Formation continue des personnes concernées et des nouvelles personnes ; 9. FACILITER L’EXERCICE DES DROITS (PROCESSUS CONTINU)Faciliter l’exercice de leurs droits pour les tiers concernés par l’organisme par la mise en place de nouveaux outils plus simples d’accès, automatiques, fiables, tracés. Modèles de recueil de consentement à jour et mise en place des outils à même de prouver et d’historiser ces consentements ; Réalisation des formalités nécessaires à la mise en place des traitements RH (procédures d’information consultation des instances représentatives du personnel, information individuelle des salariés) ; Contrats avec les sous-traitants conformes aux exigences du RGDP (par voie d’avenant ou signature d’un contrat ad hoc) ; 10. ACCOUNTABILITY : DOCUMENTER LA CONFORMITE (PROCESSUS CONTINU)Révision périodique de votre cartographie pour tenir compte des évolutions de vos systèmes ; Révision / amélioration des procédures de PIA ; Révision / amélioration des procédures de sécurité ; Suivi & révision des procédures concernant la notification des failles de sécurité Révision / amélioration des procédures de gestion ; Mentions d’information à jour ; ConceptsLe règlement et ses considérantsde l’UE sur la protection des données 2016/679 (RGPD) : CLIQUER ICI Articles correspondant du règlement sont les suivants ; entre parenthèses les considérants. Les processus et étapes d’un projet de que faire ?Consulter les processus d’un projet RGPD Didacticiels & vidéosVIDEOS 40 ans de temps fort pour les données personnelles QUIZZ Quizizz.com le rgpd en 16 questions 25 questions pour les responsables de traitement par Community Quizz DPO FAQPosez votre question, la CNIL vous répondRessources & téléchargements02 Processus RGPD.docx03 Projet conformité RGPD - les livrables.docx04 Guide de conformité - referentiel.docx05 Guide de conformite - en pratique.docx6 Guide CNIL Protection.pdfPour aller plus loinCheck-list RGPD pour les TPE-PME Guide de sensibilisation au RGPD pour les petites et moyennes entreprises FICHE 1 : Votre entreprise communique et/ou vend en ligne | |||
Documents | |||
Fichier | Dossier | Date | |
Référentiel RGPD > 16 Base de connaissances, ressource | 07-09-2021 13:18 | ||
00 vue d'ensemble.pd… | Référentiel RGPD > 16 Base de connaissances, ressource | 06-07-2022 14:39 | |
Rédacteur : system Créé le 29-10-2019 19:01 Dernière mise à jour le 15-05-2024 18:02 | 467 vues Cet élément fait partie de la FAQ |