VALIDATION DES TRAITEMENTS, APPROCHE PAR LES RISQUES

La gestion des risques RGPD nécessite d'analyser les risques engendrés le cas échéant par des traitements de données à caractère personnel et de produire des analyses d'impact dans les situations requises.

DISPOSER D'UNE CAPACITÉ D'ANALYSE  ADAPTÉE À L'ÉCHELLE DES RISQUES

La gestion des risques RGPD nécessite d'analyser les traitements de manière méthodique. 

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de suivre une check-list s'articulant autour de onze points clés pour disposer d'une analyse fiable des traitements en terme :

  1. ​De finalité du traitement

  2. De proportionnalité du traitement au regard de la finalité

  3. De minimisation des données collectées au regard de la finalité

  4. De licite du traitement

  5. De sécurisation des données collectées

  6. De durée de conservation des données collectées

  7. De destinataires des données collectées

  8. D’encadrement des relations avec les sous-traitants

  9. D’information claire et préalable des personnes concernées

  10. De conditions d’exercice des droits des personnes

  11. Et le cas échéant d’encadrement des transferts de données hors Union européenne

​Les analyses effectuées doivent permettre d’identifier les traitements susceptibles d’engendrer un risque élevé élevé pour les droits et libertés des personnes concernées et nécessitant la réalisation d'une analyse d’impact relative à la protection des données (AIPD).

LES POINTS A RETENIR :

Il convient pour l'organisme (Entreprise publique ou privée, association, responsable de traitement, sous-traitant ...) de se situer dans une logique de preuves dans la démarche d'analyse des traitements,

  • Documenter la manière dont les principes du RGPD sont respectés pour chaque traitement pour démontrer une bonne organisation de la conformité

  • S'appuyer sur le registre du traitement et la cartographie des données afin de viabiliser les analyses

  • Valider systématiquement la nécessité de réaliser des analyse d'impact en utilisant les référentiels et le logiciel PIA de la CNIL

  • Etablir les référentiels applicables aux traitements

  • Intégrer les cadres de référence de la CNIL

  • Mettre à jour régulièrement les analyses et procéder à un contrôle régulier

  • Etre en mesure de fournir les dossier d'analyse en cas de contrôle de la CNIL

  • Se préparer à des audits des traitements 

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris