Exemple

DomaineActionDétailActeursPrioritéComplexitéDate cible
Gouvernance I&LGestion du registre et de la gouvernanceMise en œuvre d’un workflow de gestion collaborative du registre étendu. Etablissement d’une matrice RACI. Identification des rôles au sein de la DSI. Définition du processus collaboratif RGPDDPOHauteHauteÀ définir
Cartographie applicativeSuivi de la cartographieMise à jour de la cartographie applicativeDSI-archiHauteHauteÀ définir
Cartographie des fluxSuivi de la cartographieMise à jour de la cartographie des fluxDSI-archiHauteHauteÀ définir
Traitements non identifiésDécouverte des traitements non identifiésAnalyse des systèmes en œuvre sur les postes, analyse des gisements de données exotiquesDSI-SSIHauteHauteÀ définir
Identification des DCPRecensement des DCP structurées et non structuréesAnalyse des systèmes pour trouver où sont les DCP. Data lineageDSI-archiHauteHauteÀ définir
Données sensiblesIdentification des données sensibles – vigilanceCréation du catalogue des données, identification et tag des données RGPD et sensibles dans les référentiels (RTU)METIER\DSI-archiHauteHauteÀ définir
EIVP / PIAGestion des études d’impact sur la vie privéeParticipation aux EIVP sur les mesures de sécurité appliquées aux traitements éligibles aux EIVP. Rédaction du processus EIVP/DIS-SSIDPO\METIER\DSI-SSIHauteMoyenneÀ définir
Cycle de vie des donnéesElaboration des processus des gestion des délais de conservationElaboration des processus de gestion des durées de conservation à partir du registre des traitements. Mise en œuvre des processus automatisés de purge à terme. Intégration dans le registreJURIDIQUE\DSI-PRODHauteHauteÀ définir
Mesures de sécuritéMettre en œuvre les mesures de sécurité globales appliquées aux traitementsValidation de l’alignement de la PSSI aux exigences de sécurité RGPD. Finalisation de l’implémentation de la PSSI.DSI-SSIHauteFaibleÀ définir
Registre des traitementsGestion du registre des traitementsElaboration du process de participation au registre des traitements sur les volets techniques, sécurité, EIVP, gestion des violations de données, gestion du droit des personnes, conseil, sensibilisationDPO\DSI-RPDMoyenneHauteÀ définir
AccountabilityÊtre en capacité de prouver toutes les opérations faites sur les donnéesLog de toutes les opérations sur les données : effacement, extractions, modifications… Log des utilisateurs ayant eu accès aux données. Gestion des droits d’accès aux données…DPO\DSI-PRODHauteHauteÀ définir
Procédures de droit des personnesMettre en place les procédures de gestion du droit des personnes côté DSIRédaction des procédures internes DSI pour répondre au droit des personnes. Intégration avec les procédures générales de traitement des réclamations. Intégration dans le registre. Test des URLs publiées et analyse des chemins de réclamation. Test grandeur nature pour évaluer la capacité à délivrer, les risques associés et les axes d’amélioration.DPO\DSI-PRODHauteHauteÀ définir
Procédures de violation de donnéesMettre en place les procédures de gestion des violations de données côté DSIElaboration des procédures de gestion des violations de données, Intégration dans POLSSI-Incident, intégration dans le registreDPO\DSI-SSIHauteHauteÀ définir
Gestion du consentementMettre en place les outils de gestion du consentementLa DSI donne les supports techniques à la mise en œuvre des outils de gestion du consentement et met à disposition les logs des évolutions.METIER\DSI-PRODHauteHauteÀ définir
Privacy by design / by defaultMise en œuvre des processus d’intégration des exigences RGPD en amont des projetsLa DSI travaille à la mise en œuvre de la Privacy by Design dans le cadre de la gouvernance des investissements. Terminer les procédures permettant aux cdp de préremplir la fiche de traitement avant validation DPODSIMoyenneMoyenneÀ définir
Sensibilisation des collaborateursMise en place de session de sensibilisation au RGPDOrganisation et conduite de sessions de sensibilisation pour tous les collaborateurs de la DSIDPO\DSIMoyenneFaibleÀ définir

Synthèse

IndicateurPrioritéComplexitéÀ réaliserContributeur DSI
Gouvernance I&L4368%DPO
Cartographie applicative3350%DSI-ARCHI
Cartographie des flux3350%DSI-ARCHI
Traitements non identifiés3488%DSI-SSI
Identification des DCP4454%DSI-ARCHI
Données sensibles4420%DSI-ARCHI
EIVP / PIA3392%DSI-SSI
Durées de conservation4273%DSI-PROD
Mesures de sécurité4320%DSI-SSI
Registre des traitements3275%DSI-RPD
Accountability2375%DSI-PROD
Procédures de droit des personnes4475%DSI-PROD
Procédures de violation de données44100%DSI-SSI
Gestion du consentement4492%DSI-PROD
Privacy by design / by default2150%DSI
Sensibilisation des collaborateurs1150%DSI

Niveau d’effort

Pour identifier les action rapides.

Ce plan d’action couvre une grande partie des aspects de la mise en conformité RGPD pour l’organisation.

Il est important de noter que les dates cibles doivent être définies en fonction des ressources disponibles et des priorités de l’organisation.

Ce plan doit être régulièrement revu et mis à jour en fonction de l’avancement des actions et des évolutions réglementaires ou organisationnelles.