- Registre des Traitements
- Création d'un Nouveau Traitement
- Gestion du Registre des Sous-traitants
- Vue d'Ensemble
- Ajouter un Sous-traitant
- Délégué à la Protection des Données (DPD)
- Gestion du Registre des Demandes
- Introduction
- Procédure d'Ajout d'une Nouvelle Demande
- Réponse à la Demande
- Informations sur le Demandeur
- Association avec des Traitements
- Gestion du Registre des Violations
- Vue d'Ensemble
- Procédure d'Ajout d'une Violation
- Conséquences de la Violation
- Associations
Registre des Traitements #
Le menu « Traitements » est dédié à la gestion des opérations liées aux données à caractère personnel au sein de l’organisation. Le registre des traitements compile tous les traitements de données personnelles effectués.
Fonctionnalités du Registre #
- Ajout d’un Nouveau Traitement : L’option « + Nouveau traitement » sert à intégrer un traitement inédit au registre.
- Impression du Registre : La fonction « Générer une impression » crée une version imprimable du registre au format Word.
- Traitements Inactifs : La sélection « Voir les traitements inactifs » offre un accès aux traitements qui ne sont plus en vigueur et qui, de ce fait, ne figurent ni dans le registre actif ni dans les bilans.
- Exportation : L’outil « Exporter » permet de télécharger la liste des traitements affichés au format Excel pour une analyse ou une conservation externe.
- Modification et Suppression : Les options « Modifier » et « Supprimer » permettent respectivement de mettre à jour les informations d’un traitement ou d’en effacer définitivement l’existence du registre, attention, cette dernière action est irréversible.
Des actions groupées sont possibles grâce à des cases à cocher, facilitant la gestion en masse des traitements pour :
- Impression en PDF,
- Désactivation pour retirer temporairement certains traitements de l’affichage actif et du bilan,
- Suppression définitive.
Astuce : Un clic sur le nom d’un traitement ouvre une fenêtre détaillée, incluant un bouton d’impression et un espace pour les recommandations du Délégué à la Protection des Données (DPD).
Création d’un Nouveau Traitement #
L’ajout d’un nouveau traitement se fait via le bouton « + Nouveau traitement ». Tous les champs marqués d’un astérisque « * » doivent être remplis obligatoirement.
Astuce : Ce nouveau traitement peut être associé à des demandes, violations, preuves, et actions de protection dès sa création.
Informations Générales #
Pour chaque traitement, il est nécessaire de préciser :
- Nom : Désignation du traitement.
- Finalités : Objectif(s) poursuivi(s) et fonction(s) du traitement. Exemple : Gestion des formations du personnel.
- Rôle dans le Traitement : Identification en tant que responsable du traitement, sous-traitant, ou responsabilité partagée.
- Gestionnaire : Entité ou personne en charge du traitement.
- Statut : Actif par défaut, un traitement inactif est exclu du registre et du bilan.
- Base Légale : Référence aux bases légales du RGPD, avec possibilité de marquer « À déterminer ».
- Justification de la Base Légale : Justification réglementaire de la base légale choisie.
- Observations : Notes supplémentaires sur le traitement.
- Registre Public : Si le traitement doit être visible sur une page publique.
Catégories de Données #
Identification des catégories de données traitées, avec une attention particulière aux données sensibles, et possibilité d’ajouter des catégories supplémentaires.
Destination #
- Catégorie de Destinataires : Identification des parties recevant les données.
- Sous-traitants : Liste des sous-traitants préalablement identifiés.
Traitements Spécifiques #
Certains traitements peuvent nécessiter une analyse d’impact due à leur nature spécifique, surtout en lien avec des données sensibles.
Détails du Traitement #
Inclut les types de personnes concernées, le volume de personnes impactées, les supports utilisés (logiciels, papier), et la durée de conservation des données.
Mesures de Sécurité et Confidentialité #
Chaque traitement doit être accompagné de mesures de sécurité adaptées, couvrant l’accès, la traçabilité, la sauvegarde, et la mise à jour des données, ainsi que d’autres mesures spécifiques pour garantir la confidentialité et la protection des données traitées.
Ce cadre méthodologique permet d’assurer une gestion rigoureuse et conforme des traitements de données à caractère personnel, en alignement avec les obligations du RGPD.
Gestion du Registre des Sous-traitants #
Vue d’Ensemble #
Le menu « Sous-traitants » offre un accès centralisé à la liste des sous-traitants de l’organisation, permettant d’ajouter de nouveaux entrants et de suivre leur conformité avec le RGPD. Cela inclut la vérification des clauses contractuelles et l’adéquation de leurs mesures de sécurité vis-à-vis du RGPD.
Un sous-traitant est défini comme tout prestataire de services traitant des données personnelles sur les directives et sous l’autorité de l’organisation, qui en est responsable.
Actions Disponibles #
- Ajout d’un Nouveau Sous-traitant : L’option « + Nouveau sous-traitant » crée une entrée pour un nouveau prestataire.
- Impression du Registre : La fonction « Générer une impression » produit une version imprimable du registre au format Word.
- Impression PDF : La sélection « Imprimer » crée un document PDF des sous-traitants affichés, suivant les filtres appliqués.
- Exportation : L’outil « Exporter » télécharge la liste filtrée des sous-traitants au format Excel.
- Modification et Suppression : Permettent respectivement de modifier les données d’un sous-traitant ou de le retirer définitivement du registre, cette dernière étant une action irréversible.
Astuce : Cliquer sur le nom d’un sous-traitant affiche ses détails, avec possibilité d’imprimer ces informations au format PDF.
Ajouter un Sous-traitant #
L’action « + Nouveau sous-traitant » initie l’ajout d’un sous-traitant au registre, avec un formulaire où les champs marqués d’un astérisque « * » sont à remplir obligatoirement.
Astuce : Enregistrer un sous-traitant avant la création d’un traitement permet de l’associer directement à ce dernier.
Informations Générales #
La section des informations générales permet de renseigner :
- Nom : Désignation du sous-traitant.
- Agent Référent : Contact principal pour la gestion des relations avec ce sous-traitant.
- Conformité des Clauses Contractuelles : Confirmation que les clauses contractuelles respectent le RGPD.
- Mesures de Sécurité : Validation que le sous-traitant a mis en œuvre des mesures de sécurité adéquates.
- Registre des Traitements : Assurance que le sous-traitant maintient à jour son propre registre des traitements.
- Transfert des Données hors UE : Indication si les données sont transférées en dehors de l’Union Européenne.
Délégué à la Protection des Données (DPD) #
Si un DPD est désigné par le sous-traitant, cocher la case correspondante et fournir ses coordonnées complètes.
Coordonnées #
Cette section doit être complétée avec les informations de contact détaillées du sous-traitant, y compris :
- Nom, Prénom,
- Adresse et compléments,
- Code postal, Ville, Pays,
- Email, Téléphone.
Cette structure didactique et méthodique facilite le suivi rigoureux des sous-traitants en lien avec les obligations du RGPD, assurant ainsi une gestion conforme et sécurisée des données personnelles au sein de l’organisation.
Gestion du Registre des Demandes #
Introduction #
Le menu « Demandes » offre une interface pour consulter et ajouter des demandes relatives aux droits des personnes concernées par le RGPD, telles que le droit d’accès, d’opposition, etc. Chaque nouvelle demande doit être méticuleusement enregistrée dans ce registre pour assurer une gestion conforme et systématique.
Fonctionnalités Clés #
- Ajout d’une Nouvelle Demande : L’option « + Nouvelle demande » facilite l’intégration d’une demande inédite au registre.
- Impression du Registre : La fonction « Générer une impression » permet de créer une version imprimable du registre au format Word.
- Consultation des Archives : L’outil « Voir les traitements archivés » donne accès aux demandes archivées, qui ne figurent plus dans le registre actif ni dans les bilans.
- Impression et Exportation : Les actions « Imprimer » et « Exporter » génèrent respectivement des documents PDF et des fichiers Excel des demandes filtrées.
- Modification et Archivage : Permettent de mettre à jour les informations d’une demande ou de l’archiver pour la retirer du registre actif.
Astuce : Un clic sur le nom de la personne concernée affiche les détails de la demande, avec une option d’impression au format PDF.
Procédure d’Ajout d’une Nouvelle Demande #
L’action « + Nouvelle demande » initie le processus d’ajout, avec un formulaire où le remplissage des champs marqués d’un astérisque « * » est obligatoire.
Contenu de la Demande #
- Objet de la Demande : Spécifie le type de droit exercé.
- Demande Explicite : Détaille les informations ou actions requises.
- Date de la Demande : Marque la réception de la demande.
- Motif : Clarifie l’objet de la demande.
- Complétude : Vérifie si la demande est correctement formulée et accompagnée des justificatifs nécessaires.
- Légitimité du Demandeur : Confirme si le demandeur agit pour son compte, en tant que tuteur légal, ou avec un mandat validé.
- Légitimité de la Demande : Assure que la demande est basée sur des motifs légaux et proportionnés.
Réponse à la Demande #
- État de la Demande : Indique le statut actuel de la demande.
- Réponse Apportée : Documente le contenu de la réponse fournie.
- Date de la Réponse : Date à laquelle la réponse a été envoyée.
- Moyen de Réponse : Méthode utilisée pour communiquer la réponse (e-mail, courrier, remise en main propre).
Rappel : Selon l’Article 12 du RGPD, la réponse doit être fournie dans un délai maximum d’un mois.
Informations sur le Demandeur #
Le formulaire recueille des données essentielles sur le demandeur, y compris la civilité, le prénom, le nom, l’adresse, l’email, et le téléphone. Par défaut, le demandeur est considéré comme la personne concernée, mais si ce n’est pas le cas, il est nécessaire de fournir et de compléter les informations relatives à la véritable personne concernée.
Association avec des Traitements #
Une demande peut être liée à un ou plusieurs traitements pour permettre un suivi et une gestion efficaces des actions entreprises en réponse.
Cette approche structurée garantit une gestion transparente et conforme des demandes des personnes concernées, en alignement avec les principes du RGPD.
Gestion du Registre des Violations #
Vue d’Ensemble #
Le menu « Violations » offre un cadre pour l’enregistrement et la consultation des incidents de sécurité affectant les données personnelles au sein de l’organisation. Une violation de données peut résulter d’actions malveillantes ou accidentelles, intentionnelles ou non, menaçant la confidentialité, l’intégrité ou la disponibilité des données.
Fonctionnalités du Registre #
- Ajout d’une Nouvelle Violation : Permet d’enregistrer un incident de sécurité nouvellement identifié.
- Impression du Registre : Crée une version imprimable du registre des violations au format Word.
- Consultation des Archives : Donne accès aux incidents archivés, retirés du registre actif et des bilans.
- Impression et Exportation : Génèrent des documents PDF et des fichiers Excel des violations filtrées pour une analyse ou un archivage externe.
- Modification et Archivage : Offrent la possibilité de mettre à jour les détails d’une violation ou de l’archiver, la retirant ainsi du registre visible.
Astuce : La consultation des détails d’une violation est accessible en cliquant sur la date de l’incident, avec une option d’impression au format PDF.
Procédure d’Ajout d’une Violation #
L’option « + Nouvelle violation » initie le processus d’ajout d’un incident, exigeant le remplissage des champs obligatoires, marqués d’un astérisque « * ».
Informations Générales #
Les détails essentiels de l’incident à renseigner incluent :
- Date de la Violation : Le moment où l’incident a été découvert.
- Statut Actuel : Indique si l’incident est toujours en cours.
- Nature de la Violation : Le type d’impact subi (Disponibilité, Intégrité, Confidentialité).
- Détails Supplémentaires : Origine, cause, nature des données affectées, catégories de personnes touchées, et estimations du nombre d’enregistrements et d’individus concernés.
Conséquences de la Violation #
Cette section permet de documenter :
- Impacts Potentiels : Effets possibles sur les individus affectés.
- Gravité : Évaluation du niveau de sévérité de l’incident.
- Communication : Détails sur les notifications envoyées aux personnes concernées et les mesures prises en réponse à l’incident.
- Notification : Informations relatives à l’alerte des autorités réglementaires et, le cas échéant, des victimes.
Rappel : La notification à la CNIL est obligatoire dans les 72 heures suivant la découverte de l’incident si celui-ci présente un risque pour les droits et libertés des individus. En présence d’un risque élevé, les personnes concernées doivent également être informées directement.
Associations #
- Traitements Associés : Permet de lier l’incident à des traitements spécifiques de données.
- Sous-traitants Associés : Identifie les sous-traitants impliqués dans l’incident, le cas échéant.
Cette structure méthodique assure une gestion efficace des violations de données, conformément aux exigences du RGPD, et permet une réaction rapide et appropriée pour atténuer les risques associés.