Category: A - SE PRÉPARER AU RGPD > A1 - Vue d'ensemble

Subject

A1 - se préparer au RGPD - Vue d'ensemble

Content

Vue d’ensemble

10 Actions à mener vers votre conformité

LES PILOTES

Désigner une personne interne responsable de la conformité

Désigner si besoin votre Délégué à la Protection des Données (DPO)

  1. INVENTAIRE -> CARTOGRAPHIE -> REGISTRE DES TRAITEMENTS

Identifier chaque donnée personnelle présent dans votre système d’information : fichiers, base de données, mails, papier

Pour chacune, documenter de façon précise et détaillée à quel processus métier elle appartient (traitement), qui est le responsable de traitement, quelles sont les personnes concernées, les autres données traitées, les finalités pour lesquelles ces données sont traitées, les lieux de stockage, quels services effectuent les traitements, avec quels sous -traitants, pour quelle durée elles sont conservées ; déterminer les mesures de sécurité et de confidentialité mises en place. Il s’agit d’identifier tant les traitements pour lesquels vous êtes responsable de traitement, que ceux pour lesquels vous êtes sous-traitant.

Rédaction du registre des traitements (selon des modèles ou référentiels édités par la CNIL)

  1. PIA : AUDITS D’IMPACTS, GESTION DES DONNEES SENSIBLES

Pour chaque traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes concernées (ceux comportant des données sensibles, un grand nombre de données, ou traités hors UE), mise en œuvre de mesures d’études d’impact (PIA)

Suite à ces études, définition des mesures techniques et organisationnelles permettant un niveau de sécurité adapté aux risques encourus.

  1. IDENTIFICATION ET PRIORISATION DES ACTIONS A MENER

Sur la base de la cartographie et des PIA, comparaison par rapport à la norme et identification des principales tâches de mise en conformité à réaliser concernant les aspects techniques / juridiques / organisationnels : documentation commerciale, contrats avec les sous-traitants, réduction des durées de conservation, outils adaptés aux transferts de données réalisés, etc.

Etablissement d’un plan projet des actions de conformité à mener.

  1. PLANIFICATION DE L’ORGANISATION DE LA SECURITE DES DONNEES

Suite à la cartographie et aux PIA, passage en revue des 24 points du REFERENTIEL ANSSI concernant la confidentialité et la sécurité des données : pour chaque point, identification des défaillances, mise en place et chiffrage du plan de mise en conformité

  1. PLANIFICATION DE DE LA GESTION DU RESPECT DES DROITS DES PERSONNES

Suite à la cartographie et aux PIA, passage en revue des 8 droits octroyés par le RGPD (droit d’information, de consentement, d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement) ; pour chaque point, identification des défaillances, mise en place et chiffrage du plan de mise en conformité

  1.  ORGANISER DES PROCESSUS INTERNES (PROCESSUS CONTINU)

Identification des personnes à même de faire remonter les informations pertinentes des différents services ;

Formation des personnes identifiées ;

Définition des procédures de notification des failles de sécurité ;

Définition des procédures de gestion des demandes d’accès, de rectification et de suppression des données ;

Définition des procédures de gestion des demandes de portabilité ;

Définition des procédures de gestion des réclamations ;

Définition des procédures de tenue et mise à jour du registre des traitements ;

Définition des procédures permettant d’impliquer les bonnes personnes pour réaliser les bonnes opérations (PIA,  principes de « data privacy by design » et de minimisation) lors de la mise en place d’un nouveau traitement ;

Rédaction et diffusion des procédures permettant aux personnes dont les données sont traitées d’exercer leurs droits y compris leur droit à la portabilité des données ;

Définition et mise en œuvre des mesures et procédures de sécurité (pseudonymisation, chiffrement, moyens permettant de garantir la confidentialité, de rétablir la disponibilité, de tester, analyser et évaluer les mesures mises en place) ;

Transferts hors Union Européenne encadrés par les outils adéquats (BCR, Privacy Shield, clauses contractuelles types) ;

Rédaction et diffusion des politiques de confidentialité clients et employés

Définition des procédures d’audit de conformité interne : tests, monitoring, contrôles, audits.

  1. AMELIORER LA SECURITE ET LA CONFORMITE (PROCESSUS CONTINU)

Pour chacun des 24 points du référentiels ANSSI « Confidentialité et Sécurité », mise en place de projets d’amélioration

Mise en place et suivi continu des tests, monitoring, contrôles, audits

Adaptation des procédures aux nouveaux process et logiciels ;

Formation continue des personnes concernées et des nouvelles personnes ;

  1. FACILITER L’EXERCICE DES DROITS (PROCESSUS CONTINU)

Faciliter l’exercice de leurs droits pour les tiers concernés par l’organisme par la mise en place de nouveaux outils plus simples d’accès, automatiques, fiables, tracés.

Modèles de recueil de consentement à jour et mise en place des outils à même de prouver et d’historiser ces consentements ;

Réalisation des formalités nécessaires à la mise en place des traitements RH (procédures d’information consultation des instances représentatives du personnel, information individuelle des salariés) ;

Contrats avec les sous-traitants conformes aux exigences du RGDP (par voie d’avenant ou signature d’un contrat ad hoc) ;

  1. ACCOUNTABILITY : DOCUMENTER LA CONFORMITE (PROCESSUS CONTINU)

Révision périodique de votre cartographie pour tenir compte des évolutions de vos systèmes ;

Révision / amélioration des procédures de PIA ;

Révision / amélioration des procédures de sécurité ;

Suivi & révision des procédures concernant la notification des failles de sécurité

Révision / amélioration des procédures de gestion ;

Mentions d’information à jour ;

Livrables

« Cartographie – Registre des traitements »

01 Présentation de l'organisme : état des lieux et diagnostic

Si il y a lieu : équipe « projet RGPD », lettre de mission, nomination DPO

02 Inventaire des catégories d’individus concernés et DCP traitées, contrats, politiques et mesures de sécurité de l’organisme ainsi que ceux de ses co-traitants

03 Registre des traitements détaillé par activité de l’organisme

  • Politique de Confidentialité des Données clients, usagers et tiers
  • Politique de Confidentialité des Données employés

projet « Conformité RGPD »

04 Complément d'inventaire : supports physiques des données, hébergements et logiciels, matériels, périphériques, documents juridiques / de collecte / d’information, interfaces de traitements, acteurs internes, groupes d’organisations et de sécurité de l’organisme, fournisseurs et parties-prenantes externes

05 Audit juridique et technique des traitements et supports : respect des droits des personnes, sécurité, confidentialité

06 PIAs

07 Cartographie du système d'information 

08 Cartographie des DCP (individus<->DCP<->flux<->traitements et processus associés)

09 Charte Utilisation des Outils Numériques et des droits "informatique et libertés"

     Politique de Protection des données à caractère personnel "salariés et candidats"

10 Politique de gestion des sous-traitants, partenaires et autres tiers

         Procédures d'échanges des données avec les sous-traitants

         Procédures de transmission des données aux tiers et partenaires

11 Programme de formation des employés

12 Plan de continuité, Plan de reprise d'activité

13 Politique d'archivage

14 PSSI : Organisation de la sécurité de l'information (ensemble des procédures)

15 Document synthèse des 77 mesures de conformité du référentiel retenu ; pour chaque mesure :

         descriptif, actions menées et résultats,

         audit et préconisations des experts,

         avis et décisions du comité pilote du projet

16 Rapport annuel DPO

Concepts

Le règlement et ses considérants

de l’UE sur la protection des données 2016/679 (RGPD) : CLIQUER ICI

Articles correspondant du règlement sont les suivants ; entre parenthèses les considérants.

CHAPITRE I - Dispositions générales

Article premier - Objet et objectifs (12345678910111213)
Article 2 - Champ d'application matériel (1415161718192021)
Article 3 - Champ d'application territorial (22232425)
Article 4 - Définitions (262728293031323334353637)

CHAPITRE II – Principes

Article 5 - Principes relatifs au traitement des données à caractère personnel (39)

Les processus et étapes d’un projet de que faire ?

Consulter les processus d’un projet RGPD

Didacticiels & vidéos

VIDEOS

RGPD La FAQ dessinée

La CNIL c’est quoi ?

40 ans de temps fort pour les données personnelles

 

QUIZZ

Quizizz.com le rgpd en 16 questions

25 questions pour les responsables de traitement par Community Quizz DPO

10 questions par Genia.ly

FAQ

Posez votre question, la CNIL vous répond

Ressources & téléchargements

02 Processus RGPD.docx

03 Projet conformité RGPD - les livrables.docx

04 Guide de conformité - referentiel.docx

05 Guide de conformite - en pratique.docx

06 Guide CNIL Protection.pdf

Pour aller plus loin

Check-list RGPD pour les TPE-PME

Guide de sensibilisation au RGPD pour les petites et moyennes entreprises

FICHE 1 : Votre entreprise communique et/ou vend en ligne

FICHE 2 : Améliorez et maîtrisez votre relation client

FICHE 3 : Protégez les données de vos collaborateurs

Writer: system
Created on 29-10-2019 19:01
Last update on 23-10-2021 12:17
276 views
This item is part of the FAQ