Analyse de la maturité RGPD

Méthodologie

Pour établir le degré de maturité de l’entreprise, nous utilisons une grille d’évaluation qui porte sur les critères suivants :

  • Gouvernance Informatique et Libertés
  • Registres
  • Cartographies (applicative et flux)
  • Connaissance des traitements non identifiés (Shadow IT)
  • Identification des DCP
  • Identification des données sensibles
  • Etudes d’impact (EIVP)
  • Durées de conservation, cycle de vie des DCP
  • Mesures de sécurité
  • Mesures juridiques
  • Mesures techniques
  • Accountability
  • Procédure d’exercice du droit des personnes
  • Procédure de gestion des violations de données
  • Procédure de gestion des contrôles CNIL
  • Gestion des consentements traitements
  • Gestion des consentements cookies
  • Gestion des mentions légales
  • Privacy by design / by default
  • Sensibilisation des collaborateurs

Critères d’évaluation détaillés

Gouvernance Informatique et Libertés / RGPD

La mise en place de la gouvernance de la protection des DCP est sous la responsabilité du DPO. Elle définit les processus, les rôles et responsabilités des acteurs de la conformité et leurs relations, les modes de communication et les indicateurs de bon fonctionnement.

Cartographie applicative

La cartographie applicative permet de mettre en évidence et de connaître l’écosystème applicatif de l’entreprise. Elle sert à catégoriser les applications en fonction de leurs domaines et de matérialiser les dépendances et les interactions applicatives.

Cartographie des flux

La cartographie des flux permet d’identifier les connexions et les communications entre applications, quelles données transitent, quels sont leurs points d’origine et de destination.

Découverte des DCP

On distingue deux gisements dans lesquels on peut trouver des données à caractère personnel : les données structurées et les données non structurées.

Données sensibles

Les données sensibles sont les données qui portent sur, ou qui font apparaître directement ou indirectement des éléments tels que les origines raciales ou ethniques, les opinions politiques, les données de santé, etc.

EIVP / PIA

Les EIVP (études d’impact sur la vie privée) ou PIA (Privacy impact assessment) sont imposées par le RGPD. Elles reposent sur une analyse de risques sécurité visant les données personnelles et leurs impacts sur les droits et libertés des personnes concernées par ces données.

Cycle de vie des données

Les données personnelles ne peuvent être conservées de façon indéfinie. Une durée de conservation doit être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données.

Mesures de sécurité

La CNIL, en partenariat avec l’ANSSI, a mis en place un guide qui rappelle en 17 points les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Droit des personnes

Le RGPD renforce le droit des personnes physiques en interdisant tout traitement des données sans leur consentement.

Violations de données

Le RGPD impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL.

Gestion du consentement

La gestion du consentement est un sujet complexe à traiter car beaucoup de traitements reposent sur le consentement de l’utilisateur à l’exploitation de ses DCP.

Registre des traitements

Le registre des traitements est l’outil de base de la démonstration de la conformité et le tableau de bord du DPO.

Accountability

Le principe d’Accountability est une notion qui vise à responsabiliser le responsable de traitement en montrant comment le principe de responsabilité est mis en œuvre et comment le rendre vérifiable.

Privacy by design / privacy by default

Le RGPD met en avant les concepts de principe de respect de la vie privée dès la conception et celui de la protection des données par défaut.