Audit interne de contrôle de conformité au GDPR/RGPD - P-ACC

Objectifs

Être capable de décrire la démarche à entreprendre dans le cadre d'un contrôle de conformité organisationnel au GDPR Comprendre comment dérouler un audit de contrôle organisationnel au GDPR Se préparer à un contrôle de la CNIL

Programme

RAPPEL : LES NOUVEAUTÉS APPORTÉES PAR LE GDPR
Les nouvelles obligations pour le responsable des traitements et pour les sous-traitants
Les nouveaux droits pour les personnes concernées

CONTRÔLE DE CONFORMITÉ AU GDPR : ORGANISATION À PRÉVOIR
Rôle, missions et positionnement du DPO
Contrôle interne vs contrôle externe

LES POINTS DE CONTRÔLE DE CONFORMITÉ
Rôles et responsabilités : les instances de décision, la séparation des tâches, les lettres de mission, traçabilité des décisions, ….
Politique de protection de la vie privée et des données à caractère personnel : structure documentaire, engagements du responsable de traitement et du sous-traitant, diffusion et communication de la politique, les chartes internes, sensibilisation, ….
Procédures internes : formalisation et communication des procédures, ….
Le respect des droits des personnes : consentement, mentions légales d’information, transparence lors de traitements de données à caractère personnel, délai de réponse aux demandes, traçabilité des demandes, …
Le respect des obligations du responsable de traitement : la tenue du registre, implication dans la politique de sécurité des données et du SI, les contrats avec les sous-traitants, la gestion des risques sur la vie privée (AIPD), la gestion des violations de donnée à caractère personnel, les relations avec l’autorité de contrôle, …
Le contrôle de conformité des traitements : respect des principes de licéité, de durée de conservation des données, gestion du consentement, …

CAS PRATIQUE
Présentation de la Checklist et des points de contrôle :
Chapitre II : Principes : – article 6 (Principes relatifs au traitement des données à caractère personnel), – article 7 (Conditions applicables au consentement), – article 9 (Traitement portant sur des catégories particulières de données à caractère personnel), – article 10 (Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions)
Chapitre III : Droits des personnes – article 12 (Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée), – article 13 (Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée), article 15 (Droit d’accès de la personne concernée), – article 16 (Droit de rectification), – article 17 (Droit à l’effacement (« droit à l’oubli »)), – article 18 (Droit à la limitation du traitement), – article 19 (Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement), – article 20 (Droit à la portabilité des données), – article 21 (Droit d’opposition), – article 22 (Décision individuelle automatisée, y compris le profilage)
Chapitre IV : Obligations du responsable de traitement et sous-traitants : – article 24 (Responsabilité du responsable du traitement), – article 25 (Protection des données dès la conception et protection des données par défaut), – article 28 (Sous-traitant), – article 30 (Registre des activités de traitement), – article 32 (Sécurité du traitement), – article 33 (Notification à l’autorité de contrôle d’une violation de données à caractère personnel), – article 34 (Communication à la personne concernée d’une violation de données à caractère personnel), – article 35 (Analyse d’impact relative à la protection des données), – article 36 (Consultation préalable)

SYNTHÈSE ET CONCLUSION

Recherches

Tout le site Le catalogue

Liens directs