Modèle d'auditQuestionnaire de maturité CNIL
1. Procédures
Actions | Caractéristiques | Responsables généralement impliqués : |
Définir et mettre en œuvre des procédures de protection des données | Définition, tenue à jour et communication des politiques et procédures générales relatives à la gestion des données personnelles et à la protection de la vie privée (charte d’utilisation du système d’information, clauses contractuelles types, etc.), vérification de leur application et déclenchement des éventuelles mesures prévues en cas de manquement | Définition par la direction juridique, direction des risques ou direction des systèmes d’information, Vérification via les processus de contrôle interne |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
2. Gouvernance
Actions | Caractéristiques | Responsables généralement impliqués : |
Piloter la gouvernance de la protection des données | Définition, mise en place, mise en œuvre, communication et amélioration de la stratégie de protection des données au sein de l'organisme (gouvernance, rôles et responsabilités, y compris ceux du délégué à la protection des données – DPO). | Direction générale de l’entreprise et, selon les organismes, pilotage et mise en œuvre par la direction juridique, la direction des risques ou la direction des systèmes d’information. |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
3. Registre des traitements
Actions | Caractéristiques | Responsables généralement impliqués : |
Recenser et tenir à jour la liste des traitements | Identification et tenue à jour de l'inventaire des traitements de données personnelles, des données et des flux de données qui leurs sont associés. | Délégué à la protection des données (DPO) |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
4. Conformité des traitements
Actions | Caractéristiques | Responsables généralement impliqués |
Assurer la conformité juridique des traitements. | Évaluation des traitements de données personnelles existants ou en projet au regard des obligations légales et réglementaires en matière de protection des données (proportionnalité et nécessité, ainsi que droits des personnes), détermination de mesures pour améliorer la conformité (y compris des clauses contractuelles types), conseil au responsable de traitement et vérification de la mise en œuvre des mesures prévues. | Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet. |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
5. Formation / Sensibilisation
Actions | Caractéristiques | Responsables généralement impliqués |
Former et sensibiliser. | Diffusion de la connaissance et création ou renforcement des compétences internes concernant la protection des données. Note : les sessions de formation/sensibilisation doivent permettre de garantir la bonne connaissance de la politique de protection des données de la part du personnel. | DPO, direction des ressources humaines, direction de la communication. |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
6. Exercice des droits
Actions | Caractéristiques | Responsables généralement impliqués |
Traiter les demandes des usagers internes et externes. | Définition, mise en place, mise en œuvre et communication des moyens permettant la gestion des demandes d'exercice des droits des personnes concernées (ex : demandes de droit d’accès), des plaintes et autres réclamations internes et externes concernant la protection des données. | DPO |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
7. Risques de sécurité
Actions | Caractéristiques | Responsables généralement impliqués |
Gérer les risques de sécurité. | Appréciation des risques de sécurité que les traitements de données personnelles sont susceptibles d'engendrer sur les personnes concernées, détermination de mesures contribuant à les traiter (y compris des clauses contractuelles types) et vérification de la mise en œuvre des mesures prévues. | Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet. |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
8. Violations de données
Actions | Caractéristiques | Responsables généralement impliqués |
Gérer les violations de données. | Identification, qualification, résolution des violations de données personnelles, notifications aux autorités de protection de données et communication aux personnes concernées, tenue d'un registre des violations. | DPO, directions métiers concernées, direction des risques, direction des systèmes d’information, direction de la communication, entités chargées de la gestion des incidents et de la gestion de crise. |
-----------------------------------------
Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.
Attribution / Pas d'utilisation commerciale
CC-BY-NC
