L’évaluation de conformité (6ème étape) : Les risques 

L’évaluation de conformité (6ème étape) : Les risques 
Minute RGPD Vidéo

Pour continuer sur le thème de l’évaluation de conformité, on vous propose d’aborder (enfin!) la question des “risques”. 

On vous en a déjà parlé : les risques du RGPD diffèrent des risques pour un SI (système d’informations). Il s’agit des risques “pour les droits et libertés des personnes physiques”. 

Le RGPD prévoit une obligation de sécurité à l’article 32, qu’il complète avec les articles suivants : ceux sur les violations de données à caractère personnel, l’étude d’impact et enfin la consultation préalable.  

Avant de se lancer sur l’évaluation des mesures de sécurité, on vous invite à vous rafraîchir la mémoire sur le principe de sécurité (1er lien) et sur l’étude d’impact (2nd lien). 

LA MINUTE RGPD | Confidentialité et intégrité  

LA MINUTE RGPD | Qu’est ce qu’une PIA ou AIPD ?  

Quand on parle d’évaluer les mesures de sécurité, il faut bien entendu les évaluer sous le spectre du RGPD, sans pour autant négliger les analyses de risques plus classiques. Comment ça ? Eh bien là encore, on va vous renvoyer à une publication récente : Les systèmes d’information | LA MINUTE RGPD  

L’analyse de risques porte sur un SI et prend en compte des actifs essentiels : ce qu’on doit protéger. La logique sera la même : l’analyse à réaliser ici porte sur les données à protéger, ou plus largement sur les activités de traitement à protéger. 

Alors, armez-vous de patience, munissez-vous de la méthode PIA de la CNIL, de la méthode EBIOS, réunissez les équipes sécurité et commencez l’évaluation des mesures de sécurité. 

  • Pour les traitements soumis à une étude d’impact : lancez la manœuvre ! Commencez par les traitements prioritaires : ils permettront de faire le plus gros du chantier. 
  • Pour les traitements non soumis à une étude d’impact mais présentant au moins un critère : identifiez les scénarios “risques” et évaluer les mesures de sécurité existantes. 
  • Pour les traitements ne présentant (à priori) pas de risque : la démarche sera la même mais ira beaucoup plus vite car l’essentiel aura déjà été fait. 

Selon les constats réalisez et proposez les recommandations nécessaires au responsable du traitement ! 

Est-ce que cela conclue votre évaluation de conformité ?? 

Eh bien… 

Ça dépend… 

Avez-vous mis en place les procédures essentielles ? Est-ce qu’elles fonctionnent ? Où en êtes-vous dans la documentation de la conformité ? Dans l’encadrement des acteurs internes ? Externes ?  

On vous avait prévenu ! Il vous reste du pain sur la planche 😉 

Allez, on se retrouve bientôt pour formaliser tout ça ! Il est temps de faire un plan d’actions vous ne croyez pas ? 

Partager l'article

Articles similaires

Minute RGPD : pourquoi se former au RGPD  
Article RGPD Minute RGPD

Minute RGPD : pourquoi se former au RGPD  

Plongez-vous dans le scénario d'une entreprise prospère où les données client constituent une précieuse monnaie. Tout semble bien se passer jusqu'à ce qu'une nouvelle fuite de données massive éclate dans une entreprise concurrente. Face à cette réalité, comment assurer la sécurité des données de vos propres clients ?
Lire la suite
Mission sécurité : protéger les données de l’équipe  
Article RGPD Minute RGPD

Mission sécurité : protéger les données de l’équipe  

Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats. Comment garantir la conformité RGPD lors des recrutements ? Comment assurer la sécurité des données de vos employés ? En tant que professionnel RH, quelles informations pouvez-vous légitimement conserver ?
Lire la suite