L’évaluation de conformité (6ème étape) : Les risques
Minute RGPDVidéo
Pour continuer sur le thème de l’évaluation de conformité, on vous propose d’aborder (enfin!) la question des « risques ».
On vous en a déjà parlé : les risques du RGPD diffèrent des risques pour un SI (système d’informations). Il s’agit des risques « pour les droits et libertés des personnes physiques ».
Le RGPD prévoit une obligation de sécurité à l’article 32, qu’il complète avec les articles suivants : ceux sur les violations de données à caractère personnel, l’étude d’impact et enfin la consultation préalable.
Avant de se lancer sur l’évaluation des mesures de sécurité, on vous invite à vous rafraîchir la mémoire sur le principe de sécurité (1er lien) et sur l’étude d’impact (2nd lien).
Quand on parle d’évaluer les mesures de sécurité, il faut bien entendu les évaluer sous le spectre du RGPD, sans pour autant négliger les analyses de risques plus classiques. Comment ça ? Eh bien là encore, on va vous renvoyer à une publication récente : Les systèmes d’information | LA MINUTE RGPD
L’analyse de risques porte sur un SI et prend en compte des actifs essentiels : ce qu’on doit protéger. La logique sera la même : l’analyse à réaliser ici porte sur les données à protéger, ou plus largement sur les activités de traitement à protéger.
Alors, armez-vous de patience, munissez-vous de la méthode PIA de la CNIL, de la méthode EBIOS, réunissez les équipes sécurité et commencez l’évaluation des mesures de sécurité.
Pour les traitements soumis à une étude d’impact : lancez la manœuvre ! Commencez par les traitements prioritaires : ils permettront de faire le plus gros du chantier.
Pour les traitements non soumis à une étude d’impact mais présentant au moins un critère : identifiez les scénarios « risques » et évaluer les mesures de sécurité existantes.
Pour les traitements ne présentant (à priori) pas de risque : la démarche sera la même mais ira beaucoup plus vite car l’essentiel aura déjà été fait.
Selon les constats réalisez et proposez les recommandations nécessaires au responsable du traitement !
Est-ce que cela conclue votre évaluation de conformité ??
Eh bien…
Ça dépend…
Avez-vous mis en place les procédures essentielles ? Est-ce qu’elles fonctionnent ? Où en êtes-vous dans la documentation de la conformité ? Dans l’encadrement des acteurs internes ? Externes ?
On vous avait prévenu ! Il vous reste du pain sur la planche 😉
Allez, on se retrouve bientôt pour formaliser tout ça ! Il est temps de faire un plan d’actions vous ne croyez pas ?
Droit à l’effacement : base active, archivage et sauvegardes ?
« Je l'ai supprimé, c'est réglé. » Cette phrase, nous l'entendons souvent. Et pourtant, le droit à l'effacement est l'un des droits RGPD les plus mal appliqués en pratique. Non par mauvaise volonté, mais parce que l'effacement ne fonctionne pas comme un simple bouton « supprimer ». Il se gère par couches et confondre ces couches expose votre organisation à des risques réels.
IA Act & RGPD : 2026, l’année de vérité pour votre conformité ?
Adopté en août 2024, le Règlement européen sur l'intelligence artificielle (IA Act) marque un tournant pour toutes les organisations qui conçoivent, utilisent ou intègrent de l'intelligence artificielle.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
