Javascript is required
logo-dastralogo-dastra

Modèle d'auditProcédure de gouvernance tendant à assurer la protection des données

CNILRGPDOrganisation
Procédure issue du label CNIL relatif à la gouvernance des données personnelles

1. Evaluation du dispositif interne lié à la protection des données

1. Exigences relatives à la politique de protection des données

1.1. L'organisme met en place en interne une politique appropriée en matière de protection des données.

Cette politique comprend l’ensemble des principes nécessaires pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.

Cette politique indique les coordonnées de l'organisme, celles du délégué à la protection des données , ainsi que les engagements de l'organisme concernant le respect des principes énoncés par le règlement européen général sur la protection des données , au regard notamment

  • de la mise en œuvre de traitements licites,

  • du respect des droits des personnes,

  • des éventuels transferts vers un pays tiers,

  • des destinataires des données collectées,

  • de la durée de conservation des données collectées,

  • des mesures de sécurité des données.

1.2. L'organisme porte à la connaissance des personnes extérieures concernées par ses traitements sa une politique en matière de protection des données et ce dans un format concis, transparent, compréhensible et aisément accessible.

Cette politique comprend toute information nécessaire pour garantir la mise en œuvre de traitements équitables et transparents, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées.

Cette politique indique les coordonnées de l'organisme, celles du délégué à la protection des données, ainsi que les engagements de l'organisme concernant le respect des principes énoncés par le règlement européen général sur la protection des données, au regard notamment :

  • de la mise en œuvre de traitements licites,

  • du respect des droits des personnes,

  • des éventuels transferts vers un pays tiers,

  • des destinataires des données collectées,

  • de la durée de conservation des données collectées,

  • des mesures de sécurité des données.

 

Elle indique les mentions et engagements de l'organisme énoncés dans le cadre de la politique interne.

1.3. L'organisme garantit que le délégué à la protection des données contrôle le respect des politiques mises en place en matière de protection des données.

Ces politiques sont réexaminées et actualisées si nécessaire, a minima tous les trois ans

2. Exigences relatives au délégué à la protection des données

2.1. L'organisme a désigné un délégué pour l’ensemble des traitements mis en œuvre par l’organisme.
2.2. L'organisme prévoit que le délégué fait rapport directement au niveau le plus élevé de la direction de l’organisme
2.3. L'organisme précise clairement l’étendue des missions du délégué dans une lettre de mission ou dans un contrat.
2.4. L’organisme s’assure que le délégué désigné dispose au moment de sa désignation des qualités professionnelles, connaissances juridiques spécialisées et pratiques en matière de protection des données requises.
2.5. L’organisme justifie comment permettre au délégué d’entretenir ses connaissances spécialisées.
2.6. L’organisme justifie les ressources nécessaires et les conditions de travail fournies au délégué pour qu’il exerce ses missions.
2.7. L’organisme s’assure que le délégué pilote la mise en conformité des traitements, dès leur conception et par défaut, et qu’il est associé systématiquement et en amont des réflexions sur toutes les questions relatives à la protection des données.
2.8. Le responsable de traitement et, si nécessaire, le représentant du responsable de traitement tiennent, ou peuvent faire tenir par le délégué à la protection des données, un registre des activités de traitement

Le registre comprenant, a minima par traitement :

  • nom et coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du représentant du responsable de traitement et du délégué ;

  • la ou les finalités du traitement ;

  • une description des catégories de personnes concernées ;

  • une description des catégories de données à caractère personnel ;

  • la durée de conservation associée à chaque catégorie de données ;

  • les catégories de destinataires, y compris les destinataires dans des pays tiers ou des organisations internationales ;

  • les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à l’article 49 paragraphe 1, 2ème alinéa du RGPD ;

  • une description des mesures de sécurité techniques et organisationnelles (cf. article 32, paragraphe 1) ;

  • l’existence ou non d’une sous-traitance (avec contrat de sous-traitance ou autre acte juridique définissant l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits du responsable de traitement).

     OU, si la demande est formulée par le sous-traitant :

  • nom et coordonnées du (ou des) sous-traitant(s) et de chaque responsable de traitement pour lequel le sous-traitant agit, ainsi que, le cas échéant, les noms et coordonnées du représentant du responsable de traitement ou du sous-traitant et du délégué ;

  • les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

  • les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (y compris leur identification) ainsi que les documents attestant de l’existence de garanties appropriées, conformément à l’article 49 paragraphe 1, 2ème alinéa du RGPD;

  • une description des mesures de sécurité techniques et organisationnelles.

2.9. L’organisme justifie comment le délégué l’informe et le conseille, ainsi que les employés procédant au traitement, en matière de protection des données à caractère personnel.
2.10. L’organisme s’assure que le délégué est le point de contact avec l’autorité de contrôle, et qu’il coopère avec cette dernière.

2. Evaluation de la méthode de vérification de la conformité des traitements

1. Exigences relatives à l’analyse de la conformité

1.1. Le délégué analyse les projets de traitements et les traitements

Le délégué analyse les projets de traitements et les traitements en termes :

  • de finalité du traitement,

  • de proportionnalité du traitement au regard de la finalité,

  • de minimisation des données collectées au regard de la finalité,

  • de licéité du traitement,

  • de sécurité des données collectées,

  • de durée de conservation des données collectées,

  • de destinataires des données collectées,

  • d’encadrement des relations avec les sous-traitants,

  • d’information claire et préalable des personnes concernées,

  • de conditions d’’exercice des droits des personnes,

  • et le cas échéant d’encadrement des transferts de données hors Union européenne.

L’organisme veille à documenter la manière dont ces principes sont respectés pour chaque traitement.

1.2. L’analyse effectuée permet d’identifier les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, pour lesquels il est nécessaire de réaliser une analyse d’impact relative à la protection des données.

L’analyse effectuée permet d’identifier les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, pour lesquels il est nécessaire de réaliser une analyse d’impact relative à la protection des données.

L’analyse d’impact relative à la protection des données comprend a minima :

  • une description systématique des opérations de traitement envisagées et des finalités, y compris l’intérêt légitime poursuivi,

  • une évaluation de la nécessité et de la proportionnalité des opérations de traitements au regard des finalités,

  • une évaluation des risques pour les droits et libertés des personnes concernées,

  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

La procédure du demandeur prévoit la possibilité de demander l’avis des personnes concernées.

1.3. L’analyse effectuée par l’organisme permet de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées.
1.4. La procédure de l'organisme encadre le recours à des sous-traitants dans la mise en œuvre des traitements.

A ce titre, elle impose le recours à un contrat définissant l’objet, la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et droits de l'organisme. Le contrat respecte les prescriptions de l’article 28 du RGPD.

La procédure de l'organisme permet d’assurer que le sous-traitant auquel il recourt :

  • présente des garanties suffisantes concernant la mise en œuvre de mesures techniques et organisationnelles adaptées afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes,

  • recourt lui-même à un sous-traitant uniquement avec autorisation préalable du responsable de traitement.

1.5. La procédure de l'organisme prévoit la réalisation d’une analyse permettant de déterminer les mesures techniques et organisationnelles adaptées au risque présenté par le traitement pour les personnes concernées.
1.6. La procédure de l'organisme prévoit que le délégué est consulté pour toute analyse d’impact et qu’il vérifie son exécution. Le délégué peut dispenser des conseils au responsable du traitement.

Si ce dernier ne suit pas les observations formulées, la documentation de l’analyse d’impact relative à la protection des données doit en mentionner la raison.

2. Exigences relatives à l’analyse de la conformité dans le temps

2.1. La procédure de l'organisme prévoit que les mesures techniques, organisationnelles et de mise en conformité sont régulièrement testées, analysées et évaluées, afin de vérifier leur efficacité.
2.2. La procédure de l'organisme (responsable de traitement) prévoit un examen régulier de la conformité du traitement au regard de l’analyse d’impact et a minima lorsqu’il y a modification du risque présenté par l’opération de traitement.
2.3. La procédure de l'organisme prévoit que les mesures correctives adoptées en cas de manquement constaté lors de l’examen de conformité sont documentées et régulièrement mises à jour.

3. Evaluation de la gestion des réclamations et incidents

1. Exigences à la gestion des réclamations et à l’exercice des droits des personnes

1.1. L’organisme met en place une procédure facilitant l’exercice des droits des personnes

L’organisme met en place une procédure facilitant l’exercice des droits des personnes (droit d’accès, de rectification, d’effacement, de limitation du traitement, à la portabilité, de définir le sort de ses données après son décès), comprenant, conformément à l’article 12 du RGPD et a minima les modalités :

  • d’identification/authentification de la personne concernée exerçant ses droits,

  • permettant de respecter les délais de réponse.

1.2. La procédure de l'organisme prévoit que le délégué, en tant que point de contact des personnes concernées, pilote la gestion des demandes des personnes concernées relatives au traitement de leurs données et à l’exercice de leurs droits.

2. Exigences à la gestion des violations de données

2.1. L’organisme (responsable de traitement) met en place une procédure de notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente, si possible dans les 72 heures après en avoir pris connaissance.

Si l’organisme est sous-traitant, celui-ci doit notifier au responsable de traitement dans les meilleurs délais après en avoir pris connaissance.

La notification à l’autorité compétente doit comporter a minima :

  • la nature de la violation,

  • les catégories et nombre de personnes concernées par la violation,

  • les catégories et nombre approximatif d’enregistrements de données à caractère personnel concernés,

  • le nom et les coordonnées du délégué,

  • les conséquences probables de la violation de données,

  • ainsi que les mesures prises et/ou à prendre pour remédier ou atténuer les éventuelles conséquences négatives.

2.2. L’organisme met en place une procédure permettant, en cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, d’en informer les personnes concernées dans les meilleurs délais.

Cette information doit comporter a minima :

  • la nature de la violation,

  • le nom et les coordonnées du délégué,

  • les conséquences probables de la violation de données,

  • ainsi que les mesures prises ou qui vont l’être pour remédier ou atténuer les éventuelles conséquences négatives.

Créé le:30/02/2022
Mis à jour le :29/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale
Auteur :
Dastro Naute
Dastro Naute
Nombre d'utilisations :1
Utiliser ce modèle d'audit

Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.