VALIDER LES TRAITEMENTS ET LES RISQUES

La gestion des risques RGPD nécessite d'analyser les risques engendrés le cas échéant par des traitements de données à caractère personnel et de produire des analyses d'impact dans les situations requises. Il s'agit d'un enjeu au centre d'un programme de conformité.

DISPOSER D'UNE CAPACITÉ D'ANALYSE  ADAPTÉE À L'ÉCHELLE DES RISQUES

Besoin d'aide 

La gestion des risques RGPD nécessite d'analyser les traitements de manière méthodique. 

En tant qu'autorité de contrôle de la protection des données, la CNIL préconise de suivre une check-list s'articulant autour de onze points clés pour disposer d'une analyse fiable des traitements en terme :

  1. ​De finalité du traitement

  2. De proportionnalité du traitement au regard de la finalité

  3. De minimisation des données collectées au regard de la finalité

  4. De licite du traitement

  5. De sécurisation des données collectées

  6. De durée de conservation des données collectées

  7. De destinataires des données collectées

  8. D’encadrement des relations avec les sous-traitants

  9. D’information claire et préalable des personnes concernées

  10. De conditions d’exercice des droits des personnes

  11. Et le cas échéant d’encadrement des transferts de données hors Union européenne

​Les analyses effectuées doivent permettre d’identifier les traitements susceptibles d’engendrer un risque élevé élevé pour les droits et libertés des personnes concernées et nécessitant la réalisation d'une analyse d’impact relative à la protection des données (AIPD). La mise en application de cette exigence contribue fortement à structurer la conformité.  

LES POINTS A RETENIR :

Il convient pour l'organisme (Entreprise publique ou privée, association, responsable de traitement, sous-traitant ...) de se situer dans une logique de preuves dans la démarche d'analyse des traitements au regard des exigences d'un programme de conformité,

  • Documenter la manière dont les principes du RGPD sont respectés pour chaque traitement pour démontrer une bonne organisation de la conformité

  • S'appuyer sur le registre du traitement et la cartographie des données afin de viabiliser les analyses

  • Valider systématiquement la nécessité de réaliser des analyse d'impact en utilisant les référentiels et le logiciel PIA de la CNIL

  • Etablir les référentiels applicables aux traitements

  • Intégrer les cadres de référence de la CNIL en désignant un DPO

  • Mettre à jour régulièrement les analyses et procéder à un contrôle régulier

  • Etre en mesure de fournir les dossier d'analyse en cas de contrôle de la CNIL

  • Se préparer à des audits des traitements 

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris