Questionnaire Maturité (DATA PRIVACY BOX)
L'audit que vous avez complété vous donne un aperçu de la signification d'une atteinte à la protection des données, des étapes à suivre et des renseignements à fournir si une telle atteinte survient.
Toute réponse à une atteinte à la protection des données doit être adaptée aux circonstances de l'incident. Le rapport n'est donc pas une réponse préconfigurée à une atteinte à la protection des données, mais plutôt un outil permettant de réagir adéquatement.Le rapport peut également servir de modèle pour l'élaboration d'un « data breach response plan » plus détaillé.
Ce rapport, ainsi que votre registre numérique des fuites de données constituent ainsi une base idéale pour réagir de manière appropriée aux fuites de sécurité.
Personnes à contacter
Coordonnées du responsable du traitement
Coordonnées du responsable du service informatique
Coordonnées du service ou du responsable juridique
C. Collecte des Données Personnelles
C. Collecte des Données Personnelles
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a fait réaliser un audit afin de répertorier les flux de données et dispose déjà d’une cartographie précise et complète de l’ensemble des données qu’il utilise ou a utilisé. Concrètement, le responsable sait où se trouvent ses données, quelles sont elles, pour quelles raisons elles sont collectées, qui a accès aux données, etc.) | |||
| Le responsable du traitement a écrit des politiques internes afin d’être sûr que les données collectées sont adéquates, nécessaires et pas excessives par rapport aux finalités envisagées par les traitements. | |||
| Le responsable du traitement a établi une politique de rétention des données dans le but d’éliminer régulièrement les données à caractère personnel qui ne sont plus nécessaires. |
B. Sensibilisation / Responsabilité
Quel est le niveau de maturité de votre entreprise ?
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a-t-il informé l’ensemble de son personnel par rapport aux nouvelles exigences du RGPD (campagne de sensibilisation / « awareness campaign »). Cette information peut avoir été communiquée par email, à l'occasion d'une réunion ou autre. La mise en conformité nécessite l'aide de l'entreprise et une bonne sensibilisation est essentielle. | |||
| Le responsable du traitement a mis en place des procédures/des politiques afin que ses projets futurs respectent le RGPD. Plus globalement, le RGPD a été intégré dans la mentalité de l'entreprise. | |||
| Le responsable du traitement dispose d’une Charte Vie Privée / Politique Vie Privée / Clause Vie Privée aisément accessible par le public. Ce document est aisément compréhensible pour le lecteur. Il est rédigé dans un langage clair et a été revu par un juriste, un avocat ou toute autre personne ayant une bonne compétence juridique. | |||
| Le responsable du traitement dispose-t-il déjà d’un registre de ses activités de traitement ? Ce registre reprend les éléments essentiels à savoir : les finalités pour lesquelles les données sont traitées, les catégories de données traitées, les personnes ayant accès aux données, la durée de rétention des données, etc. Un tel registre n'est pas toujours obligatoire mais est un point de départ et de suivi vivement conseillé. |
E. Sécurisation des Données
E. Sécurisation des Données
| Oui | Non | ? | |
|---|---|---|---|
| Le responsable du traitement a écrit/fait écrire une politique en matière de sécurité de ses informations. Cette politique est supportée par des mesures de sécurité adéquates. Cette politique est documentée et est mise à jour de manière régulière. |
