Qu’est-ce que c’est, un fichier RGPD ?

La protection des données dès la conception, ou Privacy by Design, est la base d’une protection optimale des données à caractère personnel.

En tant que DPO ou spécialistes de la protection de la vie privée, nous fournissons un dossier GDPR, qui vous est proposé en ligne grâce à “DATA LIVE”. Cependant, il y a toujours un changement dans les responsabilités du personnel ou une nouvelle application est mise en place. Ce sont des éléments que les règles de protection de la vie privée exigent de respecter correctement à tout moment.

Qu'est-ce que c'est, un dossier GDPR ?

Si vous souhaitez que votre organisation soit à l’épreuve du GDPR, iReto vous propose le Fichier GDPR pour.

DPO Associates fonctionne selon ce schéma;

  • 1 Sensibilisation 

Le personnel clé et le personnel sont correctement informés sur le traitement des données à caractère personnel. Ils vont apprendre à évaluer l’impact de la mise en œuvre du GDPR sur l’organisation.

  • 2 Le registre des activités de traitement

Après une étude approfondie des activités de traitement et des processus internes, les données personnelles traitées sont identifiées, ainsi que leur origine et les personnes avec lesquelles elles ont été partagées.

  • 3 Le DPD

Le DPD vérifie si l’organisation agit conformément aux exigences décrites dans la législation AVG et apporte son aide si nécessaire. 

  • 4 Droits des personnes concernées

Il vérifie si l’organisation prévoit tous les droits des personnes concernées et ce qu’elles peuvent invoquer, comment les données à caractère personnel peuvent être supprimées et comment ces données seront communiquées par voie électronique.

  • 5 Communication

Rédaction d’une politique et d’une déclaration de confidentialité adaptées à l’organisation, paramétrage des courriers électroniques sortants, vérification des listes de clients et traitement des données à caractère personnel dans le domaine du marketing.

  • 6 Demande d’accès

Qui a accès à quelle application et dans quelle mesure une personne donnée peut-elle consulter des données au sein de l’organisation ? Conserver les codes de connexion ou les mots de passe et établir la procédure de destruction de ces derniers.

  • 7 Déterminer la base juridique

Pour chaque opération de traitement, les bases juridiques sont déterminées et documentées. Ces bases publient par le biais de différents canaux afin que les clients ou les patients puissent s’informer.

  • 8 Consentant

Évaluation de la manière dont le consentement est recherché, obtenu ou enregistré. Les déclarations de consentement doivent être libres, spécifiques, éclairées et non ambiguës.

  • 9 Données personnelles des enfants

Développer des systèmes permettant de vérifier l’âge des personnes concernées et de déterminer si le consentement des parents ou du tuteur doit être demandé pour le traitement des données à caractère personnel des enfants mineurs.

  • 10 Violations de données

Mettre en place des procédures adéquates pour détecter, signaler et enquêter sur les violations de données à caractère personnel. Le non-respect de l’obligation de déclaration peut entraîner une amende, en plus de l’amende pour la fuite de données elle-même.

  • 11 La protection de la vie privée dès la conception

La protection des données dès la conception et des concepts tels que l’évaluation de l’impact de la protection des données sont mis en place et appliqués dans les opérations de l’organisation.

  • 12 International

Déterminer l’autorité de contrôle dont relève l’organisation si elle opère au niveau international.

  • 13 Contrats existants

Réviser les contrats existants, principalement avec les transformateurs et les sous-traitants, et les modifier si nécessaire.

Comment bien gérer le GDPR ?

Étape 1 : Analyse de l’organisation

Lors de la première réunion, nous vérifierons quelles sont les données personnelles traitées par l’organisation, comment et pendant combien de temps elles sont stockées et qui y a accès.

Il s’agit de cartographier tous les processus liés au traitement des données. Ces processus sont réalisés selon le protocole écrit dans la norme ISO27001 où l’on peut obtenir une vue d’ensemble du matériel et des logiciels utilisés.

Pour optimiser la sécurité des données personnelles, les mesures suivantes sont systématiquement prises ;

  • La sécurité incendie des bureaux
  • Des dégâts des eaux peuvent-ils se produire ?
  • Existe-t-il des mesures de protection du climat ?
  • Qu’en est-il de l’alimentation électrique ?
  • Existe-t-il une détection des failles de sécurité ?
  • Les employés reconnaissent-ils les logiciels malveillants ?
  • Existe-t-il des sauvegardes et comment sont-elles sécurisées ?
  • Le réseau est-il en ordre ?
  • Quelles sont les données stockées sur les appareils mobiles ?
  • La gestion des incidents et de la continuité a-t-elle été envisagée ?

Étape 2: Élaboration d’un plan de protection de la vie privée

Nous préparons le plan de protection de la vie privée ou la gestion de la vie privée en collaboration avec le responsable d’une organisation.

Il s’agit de vérifier si des mots de passe sont utilisés, qui y a accès et de désigner une personne responsable de la gestion de tous les mots de passe au sein de l’organisation.

Ce responsable veille à ce que les mots de passe soient conservés et changés selon une nouvelle procédure à des moments déterminés ou à ce que les codes de connexion soient supprimés lorsque le personnel quitte l’entreprise afin d’éviter tout abus.

Lors de la rédaction du plan de confidentialité, iReto examine s’il existe des opérations de traitement qui peuvent faire l’objet d’une évaluation de l’impact sur la protection des données (DPIA).

Selon IT Tips, les questions qui font l’objet d’un examen approfondi sont les suivantes ;

  • L’utilisation d’un pare-feu et la question de savoir s’il s’agit d’un matériel ou d’un logiciel.
  • Paramètres configurés sur les appareils fournis par les fabricants
  • Paramètres du micrologiciel
  • Définition des mots de passe sur les ordinateurs portables, les ordinateurs, les tablettes et les smartphones
  • Utiliser 2FA ou MFA
  • L’environnement en nuage : qui y a accès ?
  • Recherche de virus et utilisation de clés USB
  • Utilisation des réseaux (publics)
  • Empêcher l’installation de logiciels non approuvés
  • Sandboxing : fonctionner dans un environnement protégé
  • Politiques actualisées pour tous les appareils, systèmes d’exploitation et logiciels


Étape 3
: Déploiement au sein de l’organisation

Création d’un registre des traitements dans lequel la finalité du traitement est précisée, les catégories de personnes concernées sont enregistrées, la nature des données à caractère personnel et l’existence de sous-traitants multiples, de sous-traitants secondaires ou de sous-traitants conjoints.

Des registres existent également lorsque des caméras de surveillance sont installées et lorsqu’une violation de données est identifiée.

Le diagramme de flux permet de déterminer, d’une part, à partir de quel point les données à caractère personnel à traiter entrent dans l’organisation, qui les traite et comment elles sont traitées à nouveau après avoir quitté le sous-traitant responsable.

Les sous-traitants et les responsables du traitement sont enregistrés, puis contactés pour rédiger et signer un accord de sous-traitance personnalisé.

La personne concernée, le patient ou le client devant être correctement informé, le site web existant est examiné sous l’angle des points suivants ;

  • Déclaration de confidentialité
  • Politique en matière de cookies
  • Connexion sécurisée : SSL
  • Utilisation de reCAPTCHA
  • Conditions générales d’utilisation
  • Clause de non-responsabilité du site web

En outre, les contrats de travail sont revus et, si nécessaire, modifiés pour se conformer à la législation sur la protection de la vie privée, car les ouvriers et les employés doivent également connaître la politique en matière de protection de la vie privée de l’entreprise, de l’organisation ou du cabinet qui les emploie.

Étape 4: Contrôle et suivi

Une fois le dossier GDPR établi, un suivi systématique est assuré. Le dossier ne peut devenir optimal que s’il est suivi et mis à jour pendant 3 ans. Les données vivent, il y a donc des changements continus dans une organisation et la législation peut être adaptée grâce au mécanisme de cohérence entre les États membres de l’Union européenne.

Delen:

Meer berichten

gdpr audit

Un audit dans le NIS2

Introduction : L’Union européenne a réagi en introduisant la directive NIS2, une mise à jour de la directive originale de 2016 sur

Partners

©DPO Associates Alle rechten voorbehouden. Privacy verklaringCookie verklaring | Algemene voorwaarden