L’évaluation de conformité (6ème étape) : Les risques 

L’évaluation de conformité (6ème étape) : Les risques 
Minute RGPD Vidéo

Pour continuer sur le thème de l’évaluation de conformité, on vous propose d’aborder (enfin!) la question des “risques”. 

On vous en a déjà parlé : les risques du RGPD diffèrent des risques pour un SI (système d’informations). Il s’agit des risques “pour les droits et libertés des personnes physiques”. 

Le RGPD prévoit une obligation de sécurité à l’article 32, qu’il complète avec les articles suivants : ceux sur les violations de données à caractère personnel, l’étude d’impact et enfin la consultation préalable.  

Avant de se lancer sur l’évaluation des mesures de sécurité, on vous invite à vous rafraîchir la mémoire sur le principe de sécurité (1er lien) et sur l’étude d’impact (2nd lien). 

LA MINUTE RGPD | Confidentialité et intégrité  

LA MINUTE RGPD | Qu’est ce qu’une PIA ou AIPD ?  

Quand on parle d’évaluer les mesures de sécurité, il faut bien entendu les évaluer sous le spectre du RGPD, sans pour autant négliger les analyses de risques plus classiques. Comment ça ? Eh bien là encore, on va vous renvoyer à une publication récente : Les systèmes d’information | LA MINUTE RGPD  

L’analyse de risques porte sur un SI et prend en compte des actifs essentiels : ce qu’on doit protéger. La logique sera la même : l’analyse à réaliser ici porte sur les données à protéger, ou plus largement sur les activités de traitement à protéger. 

Alors, armez-vous de patience, munissez-vous de la méthode PIA de la CNIL, de la méthode EBIOS, réunissez les équipes sécurité et commencez l’évaluation des mesures de sécurité. 

  • Pour les traitements soumis à une étude d’impact : lancez la manœuvre ! Commencez par les traitements prioritaires : ils permettront de faire le plus gros du chantier. 
  • Pour les traitements non soumis à une étude d’impact mais présentant au moins un critère : identifiez les scénarios “risques” et évaluer les mesures de sécurité existantes. 
  • Pour les traitements ne présentant (à priori) pas de risque : la démarche sera la même mais ira beaucoup plus vite car l’essentiel aura déjà été fait. 

Selon les constats réalisez et proposez les recommandations nécessaires au responsable du traitement ! 

Est-ce que cela conclue votre évaluation de conformité ?? 

Eh bien… 

Ça dépend… 

Avez-vous mis en place les procédures essentielles ? Est-ce qu’elles fonctionnent ? Où en êtes-vous dans la documentation de la conformité ? Dans l’encadrement des acteurs internes ? Externes ?  

On vous avait prévenu ! Il vous reste du pain sur la planche 😉 

Allez, on se retrouve bientôt pour formaliser tout ça ! Il est temps de faire un plan d’actions vous ne croyez pas ? 

Vous aurez aimé aussi :

  1. Quand, liste de diffusion rime avec violation du RGPD
  2. Se mettre en conformité RGPD
  3. L’évaluation de conformité épisode 4 : les mentions d’information
  4. Retour vers le passé – Un bref aperçu des sanctions de la CNIL en 2022
Retour aux actualités
Partager l'article

Articles similaires

Les transferts de données hors UE
Minute RGPD Vidéo

Les transferts de données hors UE

Dans le domaine médical et de la santé, les échanges d'informations entre professionnels de santé sont fréquents et nécessaires pour assurer une prise en charge optimale des patients.
Lire la suite
IA et RGPD : les recommandations de la CNIL
Article RGPD Minute RGPD

IA et RGPD : les recommandations de la CNIL

Avec l'essor des systèmes d'intelligence artificielle (IA), notamment des IA génératives, de nombreux acteurs se posent la question de leur conformité au Règlement Général sur la Protection des Données (RGPD). La CNIL, consciente des enjeux liés à l'utilisation de l'IA et de la protection des données personnelles, a lancé en mai 2023 son "plan IA" pour clarifier le cadre juridique et accompagner les acteurs dans la mise en conformité de leurs systèmes.
Lire la suite