Traitements RGPD <

Champ couvertDescription, analyse, évaluation, documentation et gestion de la conformité des traitements (articles 24 à 29, art. 30, art. 31, art. 32 à 39, art 83.4.a du Règlement)
Etapes standards de gestion des traitementsLe Règlement impose au Responsable de traitement de suivre une procédure par paliers, en fonction du niveau de risque présenté par le traitement à l'égard des droits et libertés des personnes concernées.

Cette procédure comporte, par niveau de risque décroissant:Lorsque le traitement fait courir un risque important pour les droits et libertés des personnes concernées, et que le Responsable de traitement ne peut pas réduire ce risque [attendu 84], le Responsable de traitement doit consulter l'Autorité de contrôle (art 36)Le Responsable de traitement évalue le "risque important" en tenant compte de l'article 35.3, ainsi que des recommandations relatives au "risque élevé" du Comité Européen de la protection des données en application de l'article 70.1.i), en ajoutant les "risques élevés" définis au niveau national (art 35.4) et en écartant les "risques dispensés" au niveau national (art 34.5)
Pour ces traitements susceptibles d'engendrer un risque important, le Responsable de traitement doit réaliser une analyse préalable d'impact (PIA) (art 35.1), implémenter des mesures pour réduire ces risques [attendu 83], et consulter le DPO (art 35.2)Afin de démontrer que les traitements n'engendrent pas de "risque important", le Responsable de traitement devrait évaluer le risque engendré par chaque traitement ("Analyse de risques Pre-PIA")Les personnes chargées d'évaluer ce risque ont besoin d'informations du Métier, et dans la plupart des cas également de la DSITous les traitements doivent être enregistrés (art. 30). Le DPO veille à l'application de cette obligation (art. 39.1.b)Le Règlement impose donc de :décrire et documenter les traitementsévaluer le risquedécrire les mesures de réduction du risqueévaluer les impactsle cas échéant, consulter l'Autorité de contrôlePour les traitements usuels, ne générant pas de risques particuliers, le Responsable de traitement pourra établir des guides et règles internes de conformité, et définir des circuits plus légers d'évaluation et de validation
Participants à la gestion des traitements (workflow standard )Création / description du traitement: au choix du Responsable de traitement, depuis les "personnes autorisées exclusivement" à "tout utilisateur dans l'organisation (auto-inscription)""Documentation du traitement: selon l'organisation du client (aux termes de l'art. 39, le DPO ne devrait pas gérer lui-même le registre des traitements, mais plutôt le contrôler ou le superviser)Evaluation des risques: Responsable conformité, RSSI - avec les conseils du DPODéfinition des mesures de réduction du risque: RSSI - avec les conseils du DPOValidation: Responsable conformité, avec avis formel du DPONotification à l'Autorité de contrôle: en fonction de l'organisation du client - principalement par le DPO (art 39.1.a)
Description MétierInclus dans le workflow standard; définition des champs via l'Editeur
Analyse de risqueInclus dans le workflow standard; définition des champs via l'Editeur
Analyse préalable d'impactInclus dans le workflow standard; définition des champs via l'Editeur
PIA: Analyse d'impact sur la vie privéeInclus dans le workflow standard; incluant toutes les étapes et informations requises par chacune des Autorités de contrôle européennes. Extensible via l'Editeur de formulaires
Autres analyses et validations (Sécurité, Juridique, Conformité...)Ajoutable au workflow standard; définition des champs via l'Editeur
Consultation de l'Autorité de contrôleToutes Autorité de contrôle disponbiles
Création de formulaires directement sur le site de l'Autorité de contrôle si disponible, à défaut préparation d'un document PDF (modèles inclus pour toutes les Autorités de contrôle)
Transferts de données internationauxEntièrement documentés
Dispositif du Privacy ShieldInterface directe, requêtes, planification des vérifications
Registre des traitements (art. 30)Création, validation et révision à l'aide du workflow
Plusieurs modèles de présentation disponibles
Modèles internes de RegistreCréation par l'administrateur du client
Gestion des déploiementsPermet de décrire plusieurs instances d'un traitement global
Le traitement global est déclaré une seule foisDes formulaires secondaires (sous-documents), liés au traitement global, permettent de décrire les éléments associés à différentes entités et/ou unités:Description, gestion de la conformité et suivi des installations de vidéosurveillance, jeux et concours en ligne, enquêtes de satisfaction...Le cas échéant, description des spécificités localesLe traitement global apparait dans chaque Registre de traitements
Gestion des VersionsUne fois publiés, les traitements enregistrés sont verrouillés et ne peuvent plus être modifiés
Les utilisateurs autorisés peuvent créer de nouvelles versions, soumises au même workflow de validation et de publication
Nombre de Versions géréesJusqu'à 9999 par traitement
Revue périodique (annuelle)Permet de programmer l'examen et la revalidation de tout ou partie des traitements par les équipes Métier à une fréquence définie - par exemple annuelle
Provacy génère et envoie les emails de demande de revalidation
Retour en haut