Modèle d'auditQuestionnaire de maturité CNIL

Actions

Caractéristiques

Responsables généralement impliqués :

Définir et mettre en œuvre des procédures de protection des données

Définition, tenue à jour et communication des politiques et procédures générales relatives à la gestion des données personnelles et à la protection de la vie privée (charte d’utilisation du système d’information, clauses contractuelles types, etc.), vérification de leur application et déclenchement des éventuelles mesures prévues en cas de manquement

Définition par la direction juridique, direction des risques ou direction des systèmes d’information,

Vérification via les processus de contrôle interne

Actions

Caractéristiques

Responsables généralement impliqués :

Piloter la gouvernance de la protection des données

Définition, mise en place, mise en œuvre, communication et amélioration de la stratégie de protection des données au sein de l'organisme (gouvernance, rôles et responsabilités, y compris ceux du délégué à la protection des données – DPO).

Direction générale de l’entreprise et, selon les organismes, pilotage et mise en œuvre par la direction juridique, la direction des risques ou la direction des systèmes d’information.

Actions

Caractéristiques

Responsables généralement impliqués :

Recenser et tenir à jour la liste des traitements

Identification et tenue à jour de l'inventaire des traitements de données personnelles, des données et des flux de données qui leurs sont associés.

Délégué à la protection des données (DPO)

Actions

Caractéristiques

Responsables généralement impliqués

Assurer la conformité juridique des traitements.

Évaluation des traitements de données personnelles existants ou en projet au regard des obligations légales et réglementaires en matière de protection des données (proportionnalité et nécessité, ainsi que droits des personnes), détermination de mesures pour améliorer la conformité (y compris des clauses contractuelles types), conseil au responsable de traitement et vérification de la mise en œuvre des mesures prévues.

Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet.

Actions

Caractéristiques

Responsables généralement impliqués

Former et sensibiliser.

Diffusion de la connaissance et création ou renforcement des compétences internes concernant la protection des données. Note : les sessions de formation/sensibilisation doivent permettre de garantir la bonne connaissance de la politique de protection des données de la part du personnel.

DPO, direction des ressources humaines, direction de la communication.

Actions

Caractéristiques

Responsables généralement impliqués

Traiter les demandes des usagers internes et externes.

Définition, mise en place, mise en œuvre et communication des moyens permettant la gestion des demandes d'exercice des droits des personnes concernées (ex : demandes de droit d’accès), des plaintes et autres réclamations internes et externes concernant la protection des données.

DPO

Actions

Caractéristiques

Responsables généralement impliqués

Gérer les risques de sécurité.

Appréciation des risques de sécurité que les traitements de données personnelles sont susceptibles d'engendrer sur les personnes concernées, détermination de mesures contribuant à les traiter (y compris des clauses contractuelles types) et vérification de la mise en œuvre des mesures prévues.

Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet.

Actions

Caractéristiques

Responsables généralement impliqués

Gérer les violations de données.

Identification, qualification, résolution des violations de données personnelles, notifications aux autorités de protection de données et communication aux personnes concernées, tenue d'un registre des violations.

DPO, directions métiers concernées, direction des risques, direction des systèmes d’information, direction de la communication, entités chargées de la gestion des incidents et de la gestion de crise.