L’évaluation de conformité (6ème étape) : Les risques 

L’évaluation de conformité (6ème étape) : Les risques 
Minute RGPD Vidéo

Pour continuer sur le thème de l’évaluation de conformité, on vous propose d’aborder (enfin!) la question des “risques”. 

On vous en a déjà parlé : les risques du RGPD diffèrent des risques pour un SI (système d’informations). Il s’agit des risques “pour les droits et libertés des personnes physiques”. 

Le RGPD prévoit une obligation de sécurité à l’article 32, qu’il complète avec les articles suivants : ceux sur les violations de données à caractère personnel, l’étude d’impact et enfin la consultation préalable.  

Avant de se lancer sur l’évaluation des mesures de sécurité, on vous invite à vous rafraîchir la mémoire sur le principe de sécurité (1er lien) et sur l’étude d’impact (2nd lien). 

LA MINUTE RGPD | Confidentialité et intégrité  

LA MINUTE RGPD | Qu’est ce qu’une PIA ou AIPD ?  

Quand on parle d’évaluer les mesures de sécurité, il faut bien entendu les évaluer sous le spectre du RGPD, sans pour autant négliger les analyses de risques plus classiques. Comment ça ? Eh bien là encore, on va vous renvoyer à une publication récente : Les systèmes d’information | LA MINUTE RGPD  

L’analyse de risques porte sur un SI et prend en compte des actifs essentiels : ce qu’on doit protéger. La logique sera la même : l’analyse à réaliser ici porte sur les données à protéger, ou plus largement sur les activités de traitement à protéger. 

Alors, armez-vous de patience, munissez-vous de la méthode PIA de la CNIL, de la méthode EBIOS, réunissez les équipes sécurité et commencez l’évaluation des mesures de sécurité. 

  • Pour les traitements soumis à une étude d’impact : lancez la manœuvre ! Commencez par les traitements prioritaires : ils permettront de faire le plus gros du chantier. 
  • Pour les traitements non soumis à une étude d’impact mais présentant au moins un critère : identifiez les scénarios “risques” et évaluer les mesures de sécurité existantes. 
  • Pour les traitements ne présentant (à priori) pas de risque : la démarche sera la même mais ira beaucoup plus vite car l’essentiel aura déjà été fait. 

Selon les constats réalisez et proposez les recommandations nécessaires au responsable du traitement ! 

Est-ce que cela conclue votre évaluation de conformité ?? 

Eh bien… 

Ça dépend… 

Avez-vous mis en place les procédures essentielles ? Est-ce qu’elles fonctionnent ? Où en êtes-vous dans la documentation de la conformité ? Dans l’encadrement des acteurs internes ? Externes ?  

On vous avait prévenu ! Il vous reste du pain sur la planche 😉 

Allez, on se retrouve bientôt pour formaliser tout ça ! Il est temps de faire un plan d’actions vous ne croyez pas ? 

Partager l'article

Articles similaires

RGPD et vidéosurveillance
Minute RGPD Vidéo

RGPD et vidéosurveillance

Nous vivons aujourd'hui dans une société où les arnaques se multiplient. Malheureusement, ces pratiques malveillantes touchent de nombreux domaines de notre vie quotidienne, y compris celui de l'énergie. Dans cet article, nous allons examiner les pièges courants auxquels les consommateurs peuvent être confrontés avant ou après la souscription à un contrat d'électricité ou de gaz.
Lire la suite
[Episode 7] Sécurité | Derrière la porte, méfiez-vous du Phishing
Minute RGPD Vidéo

[Episode 7] Sécurité | Derrière la porte, méfiez-vous du Phishing

Nous vivons aujourd'hui dans une société où les arnaques se multiplient. Malheureusement, ces pratiques malveillantes touchent de nombreux domaines de notre vie quotidienne, y compris celui de l'énergie. Dans cet article, nous allons examiner les pièges courants auxquels les consommateurs peuvent être confrontés avant ou après la souscription à un contrat d'électricité ou de gaz.
Lire la suite