L’évaluation de conformité (6ème étape) : Les risques 

L’évaluation de conformité (6ème étape) : Les risques 
Minute RGPD Vidéo

Pour continuer sur le thème de l’évaluation de conformité, on vous propose d’aborder (enfin!) la question des “risques”. 

On vous en a déjà parlé : les risques du RGPD diffèrent des risques pour un SI (système d’informations). Il s’agit des risques “pour les droits et libertés des personnes physiques”. 

Le RGPD prévoit une obligation de sécurité à l’article 32, qu’il complète avec les articles suivants : ceux sur les violations de données à caractère personnel, l’étude d’impact et enfin la consultation préalable.  

Avant de se lancer sur l’évaluation des mesures de sécurité, on vous invite à vous rafraîchir la mémoire sur le principe de sécurité (1er lien) et sur l’étude d’impact (2nd lien). 

LA MINUTE RGPD | Confidentialité et intégrité  

LA MINUTE RGPD | Qu’est ce qu’une PIA ou AIPD ?  

Quand on parle d’évaluer les mesures de sécurité, il faut bien entendu les évaluer sous le spectre du RGPD, sans pour autant négliger les analyses de risques plus classiques. Comment ça ? Eh bien là encore, on va vous renvoyer à une publication récente : Les systèmes d’information | LA MINUTE RGPD  

L’analyse de risques porte sur un SI et prend en compte des actifs essentiels : ce qu’on doit protéger. La logique sera la même : l’analyse à réaliser ici porte sur les données à protéger, ou plus largement sur les activités de traitement à protéger. 

Alors, armez-vous de patience, munissez-vous de la méthode PIA de la CNIL, de la méthode EBIOS, réunissez les équipes sécurité et commencez l’évaluation des mesures de sécurité. 

  • Pour les traitements soumis à une étude d’impact : lancez la manœuvre ! Commencez par les traitements prioritaires : ils permettront de faire le plus gros du chantier. 
  • Pour les traitements non soumis à une étude d’impact mais présentant au moins un critère : identifiez les scénarios “risques” et évaluer les mesures de sécurité existantes. 
  • Pour les traitements ne présentant (à priori) pas de risque : la démarche sera la même mais ira beaucoup plus vite car l’essentiel aura déjà été fait. 

Selon les constats réalisez et proposez les recommandations nécessaires au responsable du traitement ! 

Est-ce que cela conclue votre évaluation de conformité ?? 

Eh bien… 

Ça dépend… 

Avez-vous mis en place les procédures essentielles ? Est-ce qu’elles fonctionnent ? Où en êtes-vous dans la documentation de la conformité ? Dans l’encadrement des acteurs internes ? Externes ?  

On vous avait prévenu ! Il vous reste du pain sur la planche 😉 

Allez, on se retrouve bientôt pour formaliser tout ça ! Il est temps de faire un plan d’actions vous ne croyez pas ? 

Partager l'article

Articles similaires

La vidéosurveillance dans les établissements : que dit le RGPD ?
Article RGPD Minute RGPD

La vidéosurveillance dans les établissements : que dit le RGPD ?

Comment le Règlement Général sur la Protection des Données (RGPD) impacte la vidéosurveillance. Explorez les obligations légales, les droits des individus et les meilleures pratiques pour assurer la conformité tout en garantissant la sécurité des données personnelles collectées par les systèmes de vidéosurveillance.
Lire la suite
Minute RGPD : 5 mesures préventives prioritaires de l’ANSSI
Minute RGPD Vidéo

Minute RGPD : 5 mesures préventives prioritaires de l’ANSSI

Profiter pleinement de vos vacances, grâce à 5 mesures préventives prioritaires recommandées par l'ANSSI !
Lire la suite