Exemple
Domaine | Action | Détail | Acteurs | Priorité | Complexité | Date cible |
---|---|---|---|---|---|---|
Gouvernance I&L | Gestion du registre et de la gouvernance | Mise en œuvre d’un workflow de gestion collaborative du registre étendu. Etablissement d’une matrice RACI. Identification des rôles au sein de la DSI. Définition du processus collaboratif RGPD | DPO | Haute | Haute | À définir |
Cartographie applicative | Suivi de la cartographie | Mise à jour de la cartographie applicative | DSI-archi | Haute | Haute | À définir |
Cartographie des flux | Suivi de la cartographie | Mise à jour de la cartographie des flux | DSI-archi | Haute | Haute | À définir |
Traitements non identifiés | Découverte des traitements non identifiés | Analyse des systèmes en œuvre sur les postes, analyse des gisements de données exotiques | DSI-SSI | Haute | Haute | À définir |
Identification des DCP | Recensement des DCP structurées et non structurées | Analyse des systèmes pour trouver où sont les DCP. Data lineage | DSI-archi | Haute | Haute | À définir |
Données sensibles | Identification des données sensibles – vigilance | Création du catalogue des données, identification et tag des données RGPD et sensibles dans les référentiels (RTU) | METIER\DSI-archi | Haute | Haute | À définir |
EIVP / PIA | Gestion des études d’impact sur la vie privée | Participation aux EIVP sur les mesures de sécurité appliquées aux traitements éligibles aux EIVP. Rédaction du processus EIVP/DIS-SSI | DPO\METIER\DSI-SSI | Haute | Moyenne | À définir |
Cycle de vie des données | Elaboration des processus des gestion des délais de conservation | Elaboration des processus de gestion des durées de conservation à partir du registre des traitements. Mise en œuvre des processus automatisés de purge à terme. Intégration dans le registre | JURIDIQUE\DSI-PROD | Haute | Haute | À définir |
Mesures de sécurité | Mettre en œuvre les mesures de sécurité globales appliquées aux traitements | Validation de l’alignement de la PSSI aux exigences de sécurité RGPD. Finalisation de l’implémentation de la PSSI. | DSI-SSI | Haute | Faible | À définir |
Registre des traitements | Gestion du registre des traitements | Elaboration du process de participation au registre des traitements sur les volets techniques, sécurité, EIVP, gestion des violations de données, gestion du droit des personnes, conseil, sensibilisation | DPO\DSI-RPD | Moyenne | Haute | À définir |
Accountability | Être en capacité de prouver toutes les opérations faites sur les données | Log de toutes les opérations sur les données : effacement, extractions, modifications… Log des utilisateurs ayant eu accès aux données. Gestion des droits d’accès aux données… | DPO\DSI-PROD | Haute | Haute | À définir |
Procédures de droit des personnes | Mettre en place les procédures de gestion du droit des personnes côté DSI | Rédaction des procédures internes DSI pour répondre au droit des personnes. Intégration avec les procédures générales de traitement des réclamations. Intégration dans le registre. Test des URLs publiées et analyse des chemins de réclamation. Test grandeur nature pour évaluer la capacité à délivrer, les risques associés et les axes d’amélioration. | DPO\DSI-PROD | Haute | Haute | À définir |
Procédures de violation de données | Mettre en place les procédures de gestion des violations de données côté DSI | Elaboration des procédures de gestion des violations de données, Intégration dans POLSSI-Incident, intégration dans le registre | DPO\DSI-SSI | Haute | Haute | À définir |
Gestion du consentement | Mettre en place les outils de gestion du consentement | La DSI donne les supports techniques à la mise en œuvre des outils de gestion du consentement et met à disposition les logs des évolutions. | METIER\DSI-PROD | Haute | Haute | À définir |
Privacy by design / by default | Mise en œuvre des processus d’intégration des exigences RGPD en amont des projets | La DSI travaille à la mise en œuvre de la Privacy by Design dans le cadre de la gouvernance des investissements. Terminer les procédures permettant aux cdp de préremplir la fiche de traitement avant validation DPO | DSI | Moyenne | Moyenne | À définir |
Sensibilisation des collaborateurs | Mise en place de session de sensibilisation au RGPD | Organisation et conduite de sessions de sensibilisation pour tous les collaborateurs de la DSI | DPO\DSI | Moyenne | Faible | À définir |
Synthèse
Indicateur | Priorité | Complexité | À réaliser | Contributeur DSI |
---|---|---|---|---|
Gouvernance I&L | 4 | 3 | 68% | DPO |
Cartographie applicative | 3 | 3 | 50% | DSI-ARCHI |
Cartographie des flux | 3 | 3 | 50% | DSI-ARCHI |
Traitements non identifiés | 3 | 4 | 88% | DSI-SSI |
Identification des DCP | 4 | 4 | 54% | DSI-ARCHI |
Données sensibles | 4 | 4 | 20% | DSI-ARCHI |
EIVP / PIA | 3 | 3 | 92% | DSI-SSI |
Durées de conservation | 4 | 2 | 73% | DSI-PROD |
Mesures de sécurité | 4 | 3 | 20% | DSI-SSI |
Registre des traitements | 3 | 2 | 75% | DSI-RPD |
Accountability | 2 | 3 | 75% | DSI-PROD |
Procédures de droit des personnes | 4 | 4 | 75% | DSI-PROD |
Procédures de violation de données | 4 | 4 | 100% | DSI-SSI |
Gestion du consentement | 4 | 4 | 92% | DSI-PROD |
Privacy by design / by default | 2 | 1 | 50% | DSI |
Sensibilisation des collaborateurs | 1 | 1 | 50% | DSI |
Niveau d’effort
Pour identifier les action rapides.
Ce plan d’action couvre une grande partie des aspects de la mise en conformité RGPD pour l’organisation.
Il est important de noter que les dates cibles doivent être définies en fonction des ressources disponibles et des priorités de l’organisation.
Ce plan doit être régulièrement revu et mis à jour en fonction de l’avancement des actions et des évolutions réglementaires ou organisationnelles.