Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 4: Le DPO et les outils de la conformité - Coggle Diagram
Module 4: Le DPO et les outils de la conformité
Unité 2: Le registre
Introduction
Mis en place -> responsable de traitement ou sous-traitant
Outil essentiel
recenser les traitements
Disposer une vue d'ensemble des données personnelles
Organismes concernés
Tous les organismes (publics/privés)
Forme et contenu
Forme
RGPD -> impose -> forme écrite
Format papier ou électronique
Contenu
Document de recensement et d'analyse
Permet d'identifier:
Les parties prenantes
Les catégories de données traitées
Le rôle des données
Qui y accède
Combien de temps sont elles conservées
Comment elles sont sécurisées
Dérogation
Traitemens récurrents
Traitements succeptibles de comporter un risque pour les endroits et les liberté des personnes
Traitements qui portent sur des données sensibles
Modèle de registre
Destiné à répondre aux besoins les plus courants en matière de traitement de données (TPE, PME...)
Méthode
1- Rassembler les information disponibles
Identifier et rencontrer les responsables
Anlayser le site internet
Identifier les données collectés
Utiliser la liste des traitements (CNIL)
2- Elaborer la liste des traitements
Lister les différentes activitésimpliquant un traitement de données personnelles
Exploiter les informations collectées
Remplir une fiche de registre
3- Affiner
Identifier et analyser les risques -> peser sur les traitements de données
Elaborer un plan d'action -> conformité RGPD
Suivi
Se mettre à jour régulièrement
Communication
Registre -> à la CNIL lors de sa demande
Les organismes
Pas communiquer le registre au public
Bonne pratique
Utile d'enrichir le registre
Unité 4: La notification des violations de données
Introduction
Règlement -> mesures -> violation de données -> protéger les personnes
Definition
2 conditions
Organisle effectué un traitement de données personnelles
Ces données -> perte de disponibilité, d'intégrité ou de confidentialité
Les causes
Une faille, vulnérabilité de la sécurité
Un accident
Une erreur
Une malveillance
Documentation
Nature de la violation
Catégories, nombre approximatif de personnes concernés
Catégories, nombre approximatif d'enregistrements de données
Les conséquences probables de la violation de données
Mesures prises -> éviter incident ->atténuer conséquences négatives
Délais de notification
72h pour notifier à la CNIL
Passé 72h, l'organisme s'expose à une mesure répressive
Informer dans les meilleurs délais de a minima:
la nature de la violation
Les conséquences probables de la violation
Les coordonées de la personne à contacter (DPO ou autre)
Mesures prises pour remédierà la violation
Notification en deux temps
1- Une notification initiale -> à la suite de la constatation de la violation
2- Notification complémentaire dans un délai de 72 heures arès notification intiale
Sanctions
Notification (72h) -> amende de 10000000 d'euros ou 2% du chiffre d'affaire annuel mondial total
Unité 1: Le délégué à la protection des données
Introduction
Mot d'ordre du RGPD = responsabilisation des acteurs des traitements de donnéespersonnelles
Démarche de prise en compte permanente et dynamique des principes protecteurs
Les organismes
Analyse d'impact sur la protection des données
Délégué de la protection des données (DPO)
Registre des activités de traitement
Missions
1-Informer et conseiller l'organisme
Le délégué
Sensibiliser, Informer
Il peut se prononcer sur:
La nécessité ou non de procéder à une telle analyse
La méthodologie à suivre
Les mesures à appliquer pour atténuer les risques
La qualité de l'analyse effectuée et la validité de ses conclusions
Son rôle général
pilotage de la conformité
Sera amené à:
Identifier des outils et des paramétrages
Participer à l'établissement de règles internes en matière de protection des données
2- Contrôler la conformité
Le délégué
Recensement de l'ensemble des activités de traitements mises en oeuvre par l'organisme
S'assurer de respecter différents principes de protection des données
3- Jouer un rôle d'interface entre l'organisme, la CNIL et les personnes concernées
Le délégué
Rôle du facilitateur
point de contact entre la CNIL, personnes concernées et les organismes
Conditions requises
2- Compétences et aptitudes
Qualités professionnelles
Informations et Libertés
Conditions d'organisation
Système d'information
Opérations de traitement
Réglementation sectorielle
Sensibiliser
2-Absence de conflit d'intérêts
L'organisme -> agir en toute impartialité
Le délégué -> conseiller de manière objective
Fonctions d'encadrement supérieur -> considérées comme incompatibles -> fonction de délégué
3- Bénéficie de moyens suffisants
Le délégué
Moyens nécessaires -> missions
Temps, budget
Réseaude référents
Accès aux base de données
Possibilité de se former de façon régulière
4- Indépendance dans l'accomplissement des missions
S'assurer -> garanties d'indépendance -> au niveau du DPO et de l'exercice de sa fonction
Rapport direct au niveau le plus élevé de l'organisme
Ne doit pas recevoir d'instruction dans l'exercice des missions de délégué
Aucune sanction (carrière)
Désigner un délégué
N'est pas obligatoire
Désignation obligatoire
3 cas:
1- Les autorités et organismes publics
2- Organismes privés dont...
Activités de base
Suivi régulier et systématique des personnes à grande échelle
Grande échelle
3- Organismes privés dont...
Activités de base
Traiter à grande échelle
Données sensibles -> condamnations pénales et infractions
Grande échelle
Désignation volontaire
Doit satisfaire -> conditons RGPD
Pas de désignation partielle
Inernalisation, exterenalisation ou mutualisation de la fonction
Internalisation
Membre du personnel -> besoin de proximité du délégué-> traitements et des personnes
Externalisation
Responsable -> réalisation des missions du délégué -> personne ou organisme externe
Mutualisation
Structures publiques ou privées-> communauté d'intérêts
Condition
Le délégué doit être facilement joignable
Unité 3: L'analyse d'impact relative à la protection des données (AIPD)
Introduction
AIPD =PIA (Privacy Impact Assessment)
Processus -> risques encourus -> droits et libertés des individus
Aide à construire des traitements de données respectuexu de la vie privée
Permet -> conformité au RGPD
Son objectif
4 objectifs:
1-Décrire un traitement de données de façon détaillée
2-Evaluer sa conformité au RGPD
3- Identifier les risques -> droits et libertés des personnes
4- Le cas échéant, traiter ces risques pour les réduire à un niveau acceptable
L'objet de l'APID
L'analyse d'impact peut concerner:
Une seul traitement
Plusieurs traitements
Un produit
c'est un scénario qui décrit:
Un évènement redouté
Menaces qui rendent cet évènement possible
La source de cette menace
impacts potentiels de cet évènement
AIPD obligatoire
1-Les trois traitements visés à l'article 35-3 du RGPD
Evaluationsystématique et approfondie d'aspects personnels
Le traitement à grande échelle
La surveillance systématique à grande échelle
2-La liste des traitements pour lesquels une AIPD est requise
Traitement -> profils de personnes physiques
Traitement -> profilage des personnes
3- Les critères des lignes directrices
Evaluation (profilage)
Décision automatique avec effet légal ou similaire
Surveillance systématique
Collecte de données sensibles ou données à caractère hautement personnel
Collecter de données personnelles à grande échelle
Croisement de données
Personnes vulnérables
Usage innovant
Exclusion du bénéfice d'un droit ou d'un contrat
AIPD facultative
Traitement -> présente pas de risque élevé pour les droits des individus
Lorsque la nature, portée, contexte et les finalités du traitement envisagé
Traitement figure sur la liste de traitements
Traitement fondé sur un obliation légale
Missionde service public
Traitements antérieurs au RGPD
Pas immédiatement exigée
Traitement a valablement dait l'objet d'une formalité
Traitement a valablement été consigné au registre d'un correspondant Informatique et Libertés
Qui réalise l'AIPD
Le responsable de traitement
S'assurer qu'une AIPD a été correctement menée
Conseillé par le DPO
Conseiller le responsable
Vérifier son bon fonctionnement
Vérifier la bonne exécution
Dispenser ses conseils et de s'assurer que l'AIPD est bien menée
Sous-traitant
Traitement
Les métiers(maîtrise d'ouvrage)
Mises en oeuvres
Contenu
Analyse d'impact-> a minima
Description systématique
Evaluation de la nécessité et de la proportionnalité
Evaluation des risques sur les droits et libertés
Les mesure envisagées
Methode
Analyse d'impact avant la mise en oeuvre du traitement
Guides de la CNIL -> méthode
Délimiter et décrire le contexte
Analyser les mesures garantissant le respect des principes fondamentaux
Aprrécier les risques sur la vie privée liés à la sécurité des données
Formaliser la validation de l'analyse au regard des éléments
Communication à la CNIL
Obligatoire
Sanctions
Non-respect = amende allant jusqu'à 10000000 d'euros ou 2% du chiffre d'affaires annuel mondial
Unité 5: Code de conduite et certification
Introduction
Vecteurs de conformité
Faciliter l'application des dispositions du règlement
S'adresse à tout publics professionneles
Objectifs
Mettre en oeuvre les dispositions du règlement dans un secteur d'activité identifié
Solutions sous formes
Modèles de mentions d'information
Fiches thématiques
Recommandations
Conception
Porté pour une association ou un organisme
Constituer un comité en charge du recensement des problématiques opérationnelles
Validation
Concerne des activités memnées au sein d'un seul Etat membre
Projet de code est européen => à la CNIL
Contrôle
Désigne un organisme en charge du contrôle
Objet d'un agrément par l'autorité de contrôle compétente
La certification
attestation de la condormité
Garantir dans le cadre des transferts de données hors UE
Démarche volontaire
Organismes certificateurs
Justifier de son indépendance
RGPD 2 types de procédures
CNIL
COFRAC
Rôles des pouvooirs publics
1-Un rôle incitatif
2-Un rôle participatif
3- Un pouvoir coercitif (santions)
Les référentiels élaborés par la CNIL
Référentiel d'agrément
Agrée par la CNIL
Référentiel de certification
Compétences et savoir-faire