Please enable JavaScript.
Coggle requires JavaScript to display documents.
Module 4 : Evaluer - Evaluations des données - Coggle Diagram
Module 4 : Evaluer - Evaluations des données
Gouvernance des données
gouvernance des données = ensemble des politiques, processus, rôles et technologies mis en place pour garantir que les données sont gérées de manière fiable, sécurisée, conforme et utile tout au long du cycle de vie
obj de la gouvernance des données
aligner l'usage des données sur les valeurs, la stratégie et les obligations réglementaires de l'organisation
favoriser une gestion responsable, efficace et tracable des données personnelles
Eléments clés de la gouvernance des données
Définition des rôles et responsabilités
Définir clairement qui est responsable de quoi :
propriétaires des données
gestionnaires des systèmes
référrents RGPD ou DPO
Eviter les zones grises où personne n'assume la conformité
Création de politiques et de standards
Politique de qualité des données, politique de sécurité, politique de conservation
Définir des standards : format de données, règles de validation, règles de suppression
Mise en place de processus
Collecte, accès, modification, transfert, archivage, suppression
Intégration de ces processus dans les outils métiers et les workflows
Surveillance et contrôle
Mise en place d'indicateurs de gouvernance (qualité, sécurité, conformité)
audits réguliers des pratiques de gestion des données
Une bonne gouvernance des données permet de :
faciliter la conformité au RGPD
réduire les risques de violation ou de mauvaise utilisation
simplifier les DPIA grâce à la documentation déjà en place
identifier les flux de données transversaux souvent visibles en silo
c-à-d que chacun gère ses propres données... sans toujours savoir comment les autres services utilisent ou partagent ces mêmes données
Inventaires et cartographies des données
obj de l'inventaire et de la cartographie :
savoir quelles données personnelles sont collectées, où elles sont stockées, comment elles sont utilisées, avec qui elles sont partagées, et combien de temps elles sont conservées
offrir une vision claire et exploitable du cycle de vie des données
inventaire = liste structurée des traitements de données personnelles réalisés par l'organisation
l'inventaire doit contenir les informations essentielles suivantes
finalité du traitement
données collectées
personnes concernées
base légale
destinataires
durée de conservation
mesures de sécurité
outils utlisés
la cartographie
complète l'inventaire en visualisant les mouvements des données
D’où elles viennent
Où elles vont
Par quels outils ou prestataires elles transitent
elle permet d'identifer :
des flux transfrontaliers
des flux internes invisibles entre services
des risques liés aux transferts (stockage cloud non documenté, fichiers manuels partagés...)
Méthode
Approche manuelle
Approche automatisée
outils de data mapping (one trust, collibra, datagalaxy)
exploration automatisée de bases de données et fichiers
corrélation avec les outils IT (active directory, logs, ERP)
Défis fréquents
Informations incomplètes ou obsolètes
Résistance ou manque de coopération des métiers
Redondance des outils et traitements non maîtrisé
Difficulté à maintenir à jour l’inventaire dans un environnement en changement permanent
Bonnes pratiques
Adopter une approche itérative et pragmatique
Prioriser les traitements à fort risque ou fort volume
Intégrer l’inventaire dans une gouvernance vivante (revues périodiques)
Utiliser l’inventaire comme socle pour les DPIA, les analyses de sécurité, les registres RGPD
Registres des activités de traitement (art 30 RGPD)
registre de traitement = outil obligatoire pour de nombreuses organisations sous le RGPD
il formalise l'inventaire des traitement de données personnelles + preuve centrale de l'accountability
Qui doit le faire ?
Le RT et le ST
sauf excemtion pour les structures de moins de 250 salariés ne traitant pas de données sensibles ni données à grandes échelle
Contenu obligatoire pour le RT
nom et coordonées du responsable
finalité du traitement
catégories de personnes concernées
catégories de données
destinataires des données
transferts hors UE
durées de conservation
mesures de sécurité
Contenu obligatoire pour le ST
nom du client
catégories de traitement
mesures de sécurité
transferts éventuelles
Difference avec l'inventaire de données
inventaire = outil et plus riche siuvent utilisé pour construire le registre
registre = officiel et transmissible à la CNIL
Bonnes pratiques
rédiger un registre par traitement (non oar système informatique)
mettre à jour au moins une fois par an, ou à chaque changement majeur
utiliser une structure harmonisée pour faciliter la lecture (tableau ou outil spécialisé)
faire valider chaque entrée du registre par les métiers concernés
Evaluations et AIPD (analyses d'impact)
DPIA = outil du RGPD pour évaluer et réduire les risques liés aux traitements de données
art 35 RGPD
oblligatoire lorsque le traitement est susceptible d'engendre un risque élevé pour les droits et libertés des personnes physiques
Quand le faire ?
surveillance systématique à grande échelle (vidéosurveillance, traçage GPS)
traitement de données sensibles
croisement massif de données de sources diverses
évaluation systématique ou scoring des personnes (profiling)
utilisation de nouvelles technologies ou solutions algorithmiques (IA)
un DPIA doit inclure :
description du traitement
évaluation de la nécessité et de la proportionnalité
analyse des risque pour les droits et libertés des personnes
mesures envisagés pour atténuer les risques (techniques, organisationnelles, contractuelles)
si risque non maitrisé
l'organisation doit consulter l'autorité de contrôle avant de commencer le traitement
Evaluations physiques et environnementales
obj : identifier et maitriser les risques de perte, de vol, d'accès non autorisé ou de destruction des données personnelles dans l'environnement physique
Aspects à évaluer
accès aux locaux
qui peux entrer da,s les zones sensibles ? (ex : salles serveurs, archives, imprimantes réseau)
contrôle d'accès par badge ? clé ? enregistrement des entrées ?
protections des équipements
Les postes de travail sont-ils verrouillés automatiquement ?
Les écrans sont-ils orientés pour éviter la visualisation non autorisée (shoulder surfing) ?
Y a-t-il des disques durs ou clés USB non chiffrés ?
stockage papier et gestion documentaire
Les documents contenant des données personnelles sont-ils conservés dans des armoires verrouillées ?
Les procédures de classement, archivage, destruction sont-elles définies et respectées ?
sécurité environnementale
Bâtiment sécurisé contre l’incendie, les inondations, les accès extérieurs ?
Sauvegardes physiques entreposées dans des lieux distincts ?
Méthodes d'évaluation utilisées
audits de sécurité physique
checklist de conformité physique
visites de site, observation directe
revue de la documentation associée (plan de sécurité, plan de continuité d'activité)
Risques identifiés
Documents laissés sans surveillance dans les bureaux
salles de serveurs accessibles sans contrôle
destruction inadéquate de documents
outils de sauvegarde physiques non protégés
accès aux écrans d'ordinateurs dans des lieux publics
Mesures à mettre en place
politique de bureau propre
verrouillage automatique des postes
caméras de surveillance dans les zones sensibles
formation des employés sur la discrétion et la vigilance
Équipements sécurisés (coffres, armoires, déchiqueteuses certifiées)
Evaluation des fournisseurs
Quand effectuer une évaluation ?
avant la signature du contrat
à chaque renouvellement ou extension d'un contrat
en cas de modification des services fournis ou des traitements réalisés
périodiquement dans le cadre de revue de conformité (tous les 1 à 3 ans)
Eléments à évaluer
capacités de conformité RGPD
Existe-t-il un DPO désigné ?
Le fournisseur tient-il un registre des traitements ?
Dispose-t-il d’une politique de confidentialité interne ?
sécurité des données
Quelles sont les mesures techniques et organisationnelles mises en œuvre ? (MFA, chiffrement, journalisation, etc.)
Est-il certifié (ex : ISO 27001, HDS, SecNumCloud) ?
A-t-il déjà subi une violation de données ? Si oui, comment l’a-t-il gérée ?
sous-traitance en cascade
Le fournisseur utilise-t-il d’autres prestataires ?
Comment sont encadrés les sous-traitants ultérieurs ?
Transferts de données hors UE ? (SCC, DPF, BCR…)
Contrôle contractuel
le contrat doit inclure :
instructions précises du responsable de traitement
clauses sur la confidentialité, la sécurité, l'assistance en cas d'incident, l'accès aux données, la suppression ou restitution en de fin de contrat
clauses encadrants les transferts hors UE
droits d'audit pour le client
Outils et méthodes
questionnaires d'autoévaluation
grille de notation
audits documentaires ou sur site
surveillance continue via plateformes spécialisées
risques en cas de négligence
perte de contrôle sur les données
responsabilité conjointe en cas de violation
non-cnformité contractuelle ou réglementaire
perte de confiance des clients ou de l'autorité de contrôle
Fusions, acquisitions et cessions
obj : intégrer les exigences de prtection des données dans le processus de due diligence, la négociation contractuelle, et la phase d'intégration post-opératoire
Étapes clés où le DPO doit intervenir
Avant la transaction (due diligence)
Identifier les traitements de données concernés : employés, clients, prospects, patients, utilisateurs, etc.
Évaluer la conformité de l’entité cible au RGPD ou aux lois locales :
Existe-t-il un registre des traitements ?
Y a-t-il eu des violations signalées ?
Les AIPD sont-elles à jour ?
Des transferts internationaux sont-ils encadrés ?
Vérifier les contrats avec les sous-traitants, clauses de confidentialité, mentions légales
Pendant la transaction (aspects contractuels)
Prévoir des clauses spécifiques sur la gouvernance des données :
Maintien des obligations RGPD pendant la transition
Information des personnes concernées (si changement de responsable du traitement)
Répartition des responsabilités en cas de violation ou de litige
Après la transaction (intégration ou cession)
Mettre à jour le registre des traitements consolidé
Réaliser des DPIA si de nouveaux traitements émergent
Harmoniser les politiques de confidentialité, les outils, les durées de conservation
Informer les personnes concernées en cas de changement d’usage ou d’identité du responsable de traitement
Bonnes pratiques
Impliquer le DPO ou un expert privacy dès la phase de pré-analyse
Intégrer la conformité RGPD dans la valorisation de l’actif data
Documenter toutes les décisions, analyses de risques et actions menées
Vérifier les conséquences transfrontalières (filiales, cloud, partenaires tiers)
Obj du module :
Evaluations régulières et méthodologiques que doitt effectuer l'organisation pour :
identifier les risques liés à la protection des données personnelles
assurer la conformité continue
renforcer la gouvernance des données