MON PORTAIL

Questionnaire Maturité (TEST_ASSUR-D)

L'audit que vous avez complété vous permettra de comprendre votre degré de maturité au Règlement Général de Protection des Données (GDPR).

Merci de prendre le temps de compléter les questions suivantes. Le questionnaire nous permettra de comprendre votre degré de maturité au Règlement Général de Protection des Données (RGPD) qui entre en vigueur en mai 2018.

Taille de l'entreprise

Secteur d'activité

Détails activités

Appartenance à un groupe

Nombre de sous-traitants

Listez vos sites web accessibles au public

Listez vos sites e-commerce

Listez vos applications mobiles

Présence sur les réseaux sociaux

Quel est selon vous la maturité des dirigeants de la société au niveau de la connaissance de cette nouvelle réglementation ?

Délégué à la Protection des Données ou Data Protection Officer ?

OuiNon?
Le responsable du traitement a-il nommé un Délégué à la Protection des Données (« DPD ») ? Celui-ci peut être une personne "interne" à la société ou externe.
Le DPD dispose des ressources (informatiques et opérationnelles) adéquates pour faire face aux nouvelles exigences du RGPD.

B. Sensibilisation / Responsabilité - Quel est le niveau de maturité de votre entreprise ?

OuiNon?
Le responsable du traitement a-t-il informé l’ensemble de son personnel par rapport aux nouvelles exigences du RGPD (campagne de sensibilisation / « awareness campaign »). Cette information peut avoir été communiquée par email, à l'occasion d'une réunion ou autre. La mise en conformité nécessite l'aide de l'entreprise et une bonne sensibilisation est essentielle.
Le responsable du traitement a mis en place des procédures/des politiques afin que ses projets futurs respectent le GDPR. Plus globalement, le GDPR a été intégré dans la mentalité de l'entreprise.
Le responsable du traitement dispose d’une Charte Vie Privée / Politique Vie Privée / Clause Vie Privée aisément accessible par le public. Ce document est aisément compréhensible pour le lecteur. Il est rédigé dans un langage clair et a été revu par un juriste, un avocat ou toute autre personne ayant une bonne compétence juridique.
Le responsable du traitement a-t-il mis en place des procédures/des politiques afin que ses projets dorénavant respectent les exigences du « privacy by design » (la protection des données est intégrée dès la conception d´un produit ou d’un service) et « by default » ?
Le responsable du traitement dispose-t-il déjà d’un registre de ses activités de traitement ? Ce registre reprend les éléments essentiels à savoir : les finalités pour lesquelles les données sont traitées, les catégories de données traitées, les personnes ayant accès aux données, la durée de rétention des données, etc. Un tel registre n'est pas toujours obligatoire mais est un point de départ et de suivi vivement conseillé.

C. Collecte des Données Personnelles

OuiNon?
Le responsable du traitement a fait réaliser un audit afin de répertorier les flux de données et dispose déjà d’une cartographie précise et complète de l’ensemble des données qu’il utilise ou a utilisé. Concrètement, le responsable sait où se trouvent ses données, quelles sont elles, pour quelles raisons elles sont collectées, qui a accès aux données, etc.)
Le responsable du traitement a écrit des politiques internes afin d’être sûr que les données collectées sont adéquates, nécessaires et pas excessives par rapport aux finalités envisagées par les traitements.
Le responsable du traitement a établi une politique de rétention des données dans le but d’éliminer régulièrement les données à caractère personnel qui ne sont plus nécessaires.

D. Bases Juridiques / Fondements

OuiNon?
Le responsable du traitement collecte-t-il licitement les données ? A t'il fait vérifier (et documenter) les bases juridiques de chacune de ses activités de traitement ? NB : Les bases juridiques du traitement sont essentielles, la collecte des données peut se faire sur la base d'un consentement de la personne, de l'exécution d'un contrat, afin de satisfaire une obligation légale, la sauvegarde d'un intérêt vital, pour une mission d'intérêt public ou pour la réalisation des intérêts légitimes du responsable du traitement.
En cas de demande de consentement de la personne concernée, le responsable du traitement connait la façon dont est obtenu le consentement et en conserve la preuve ?
Le responsable du traitement a un système permettant d’enregistrer et de gérer de façon continue les consentements.
Le responsable du traitement a-t-il fait réaliser une balance des intérêts lorsque la base juridique de l’activité de traitement sont ses intérêts légitimes?

E. Sécurisation des Données

OuiNon?
Le responsable du traitement a écrit/fait écrire une politique en matière de sécurité de ses informations. Cette politique est supportée par des mesures de sécurité adéquates. Cette politique est documentée et est mise à jour de manière régulière.
Le responsable du traitement a mis en place des mesures appropriées pour protéger contre la perte ou le vol les données à caractère personnel lorsqu’elles sont transférées à un tiers.
Le responsable du traitement dispose-t-il de mesures / d’une procédure afin de notifier les failles de sécurité aux autorités et / ou aux personnes concernées ?

F. Sous-Traitants

OuiNon?
Les contrats que le responsable du traitement a signé avec des sous-traitants sont conformes au RGPD. Ils ont donc été revus récemment et comportent des dispositions qui encadrent la relation (finalités pour lesquelles les données sont communiquées, responsabilité des parties, etc.).
La société traite t’elle des données à caractère personnel au nom et pour le compte d’autres sociétés (elle agit donc en qualité de sous-traitant et non plus en qualité de responsable de traitement) ?
Si la société agit en tant que sous-traitant a t’elle obtenu l’autorisation préalable du responsable de traitement ?

G. Autres Contrats

OuiNon?
Le responsable du traitement a-t-il fait réviser l’ensemble de ses contrats (contrat de travail et/ou règlement de travail, fournisseurs, conditions générales de vente, etc.) en conformité avec le GDPR ?

H. Traitements Particuliers

OuiNon?
Le responsable du traitement collecte-t-il et traite t’il des données sensibles (par exemple, les données de santé, croyances religieuses, l’orientation sexuelle, les origines raciales ou ethniques, les opinions politiques, l’appartenance syndicale) ou particulières (données génétiques, données relatives aux infractions pénales, aux condamnation etc., données biométriques, etc.) au sens du RGPD ?
Le responsable du traitement réalise-t-il, sur la base des données à caractère personnel qu’il collecte, du profilage ?
Le responsable du traitement prend des décisions fondées exclusivement sur un traitement automatique produisant des effets juridiques concernant ou affectant la personne concernée de manière significative.
Dans le cas où le responsable du traitement prend des décisions purement automatiques, le responsable du traitement a-t-il mis en place une procédure afin de permettre aux personnes concernées sujettes de ces décisions de demander une intervention humaine ?
Le site web du responsable du traitement offre-t-il des services aux enfants ? Le RGPD laisse le soin aux Etats membres de définir l’âge qui doit être pris en compte (en Belgique, par exemple, l’âge de 13 ans a été proposé par le législateur belge).

I. Droits des Personnes Concernées

OuiNon?
Le responsable du traitement est-il capable de satisfaire toutes les demandes des personnes concernées dès à présent ? Dans le cadre du GDPR, les personnes ont effectivement certains droits par rapport au traitement de leurs données : droit d’information, droit d’accès et copie des données, droit de rectification, droit d’opposition, droit de limitation, droit à l’effacement/oubli, droit à la portabilité.
Le responsable du traitement a mis en place une procédure (qu’il respecte) afin de répondre aux demandes des personnes quant à l’accès à leurs données ainsi qu’à certaines informations.
Le responsable du traitement a mis en place une procédure permettant de vérifier que les données personnelles détenues sont exactes et mises à jour de façon continue.
Le responsable du traitement a mis en place une procédure (qu’il respecte) afin de d’éliminer régulièrement les données à caractère personnel qui ne sont plus nécessaires ou de les effacer à la demande des personnes concerneés.
Le responsable du traitement a mis en place une procédure permettant de limiter le traitement à la demande de la personne concernée.
Le responsable du traitement a mis en place une procédure permettant de transférer, copier et déplacer les données à la demande de la personne concernée dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un responsable du traitement.
Le responsable du traitement a mis en place une procédure (qu'il respecte) afin de satisfaire le droit d'opposition de la personne concernée au traitement de ses données et notamment d'arrêter les traitements à des fins de prospection commerciale lorsque ces dernières le requièrent.

J. Analyse d’impact

OuiNon?
Le responsable du traitement dispose-t-il d’une procédure afin de réaliser si nécessaire une analyse d’impact relative à la protection des données personnelles (« AIPD ») ? Une analyse d’impact est nécessaire lorsque le traitement est susceptible d’engendrer des risques élevés sur la vie privée.
Le responsable du traitement a fait réaliser une AIPD lorsque cela fut nécessaire.

K. Transferts Hors Union Européenne

OuiNon?
Le responsable du traitement transfère-t-il les données à caractère personnel qu’il a collectées en-dehors de l’UE ?
Ces transferts hors de l’UE se réalisent ils au sein d’un même groupe de sociétés ?