Liste de contrôle GDPR

GDPR

Testez vos connaissances GDPR !

1. Avez-vous une politique de déclaration de confidentialité ?
Cliquez ici pour un exemple

L’entreprise X a établi une politique de déclaration de confidentialité/politique de protection des informations, reprenant entre autres les éléments suivants :
Les données à caractère personnel des collaborateurs sont caractérisées comme très confidentielles ;
• Des mesures sont prises pour protéger les données confidentielles, comme la restriction de l’accès à ces données ;
• Les collaborateurs ne peuvent pas utiliser les données à d’autres fins que pour le travail qu’ils effectuent ;
• Un membre de la direction est désigné responsable du contrôle du respect des mesures et de la conformité avec le GDPR.

2. Disposez-vous d’une procédure d’obligation d’information pour les fuites de données ?
Cliquez ici pour un exemple

Dans le passé, un collaborateur de l’entreprise X a volé une clé USB, et il y a eu un abus des données à caractère personnel contenues sur cette clé USB. Par conséquent, des personnes reprises dans la base de données de l’entreprise (entre autres des clients et des partenaires) ont été approchées pour être interrogées par une société de marketing pour un entretien de vente. L’année dernière, l’entreprise a beaucoup travaillé pour établir une procédure d’obligation d’information en cas de fuites de données, afin qu’elle sache à l’avenir quelles démarches doivent être entreprises dans le cas d’une fuite de données de ce genre. La procédure reprend entre autres ce qui suit :

La différence entre un incident de protection et une fuite de données : un incident de protection est une fuite de données si la protection des données à caractère personnel est rompue, dans ce cas les données sont exposées à une perte ou à un traitement illégitime des données à caractère personnel ;
• Les incidents de protection sont toujours enregistrés dans un outil d’enregistrement ;
• Dans le cas d’une fuite de données, celle-ci est communiquée le plus rapidement possible, mais dans tous les cas dans les 72 heures, à l’Autorité des données à caractère personnel ;
• Dans le cas d’une fuite des données, il y a une évaluation des risques et les personnes concernées sont informées si nécessaire ;
• Des exemples d’incidents qui peuvent donner lieu à une fuite de données, parmi lesquels la perte d’une clé USB, une effraction par un hacker, une contamination par un logiciel malveillant ou une catastrophe comme un incendie dans le centre de données.

3. Conservez-vous un registre par traitement pour tous les traitements des données à caractère personnel, en ce compris les catégories traitées sous votre responsabilité ?
Cliquez ici pour un exemple
L’entreprise X conserve un aperçu des données à caractère personnel traitées. Plusieurs données sont reprises par traitement dans cet aperçu, ce qui indique clairement que chaque traitement a un objectif, que la protection est suffisamment garantie et que les données sont conservées selon le délai de conservation légal. Ce registre reprend au moins ce qui suit pour chaque traitement :
• Le nom et les coordonnées des responsables collectifs du traitement
• L’objet du traitement
• La catégorie des personnes concernées
• La catégorie des données à caractère personnel
• La catégorie des destinataires des données à caractère personnel
• La transmission à un pays tiers ou à une organisation internationale (si c’est le cas, documents concernant les garanties appropriées) ?
• Les délais dans lesquels les données doivent être effacées
• Les mesures de protection


4. Est-ce qu’un ou plusieurs des éléments ci-dessous s’appliquent au(x) traitement(s) que vous faites des données à caractère personnel ?
– Vous avez une obligation légale de traiter des données à caractère personnel.
– Vous traitez des données à caractère personnel dans le cadre de l’exécution d’un contrat.
– Il est question d’un intérêt vital pour les personnes concernées.
– Vous avez reçu l’autorisation explicite des personnes concernées pour pouvoir traiter leurs données à caractère personnel.
Cliquez ici pour un exemple

Pour le traitement des données de collaborateurs ou de clients, l’entreprise X a une obligation légale de traiter les données à caractère personnel. Si l’entreprise veut par exemple également utiliser les données des clients pour envoyer des lettres d’information, elle doit demander l’autorisation explicite des clients pour ce traitement.

5. Pouvez-vous aussi atteindre vos objectifs avec moins de données à caractère personnel?
Cliquez ici pour un exemple

Pour chaque traitement, l’entreprise X doit vérifier si l’objectif ne peut pas être atteint avec moins de données à caractère personnel.

6. Avez-vous pris des mesures pour garantir la qualité (exactitude et actualité) des données à caractère personnel ?
Cliquez ici pour un exemple

L’entreprise X a pris différentes mesures pour garantir que les données des collaborateurs ou des clients sont correctes et actuelles. L’entreprise X contrôle les données d’un nouveau collaborateur à l’aide d’un document d’identité authentique. Avec le numéro de service citoyen indiqué des collaborateurs, il y a une vérification, ce que l’on appelle l’essai onze, pour déterminer si le BSN indiqué existe, ce qui ne signifie pas encore que le numéro de service citoyen est correct.

7. Est-ce que l’accès aux données à caractère personnel dans vos systèmes est établi suivant le principe « besoin de savoir » ?
Cliquez ici pour un exemple

Les collaborateurs du département « Entretien et réparation » de l’entreprise X ont accès aux demandes des clients et aux données à caractère personnel connexes des personnes de contact. Les collaborateurs du département « Créanciers » de l’entreprise X sont responsables du paiement mensuel des fournisseurs pour les services fournis. Pour l’exercice de leur fonction, ils ne doivent pas avoir accès aux données à caractère personnel des collaborateurs ou clients. Pour cette raison, ils n’ont pas accès à certaines applications.

8. Lors de la constitution et de l’établissement de votre infrastructure IT et de votre architecture IT, est-ce que suffisamment de mesures de protection ont été mises en place pour garantir que l’accès non autorisé aux données à caractère personnel soit évité le plus possible ?
Cliquez ici pour un exemple

Afin de garantir que les collaborateurs qui ne doivent pas avoir accès n’ont réellement pas d’accès, l’accès aux applications est protégé par un nom d’utilisateur et un mot de passe uniques. Le mot de passe doit comprendre minimum 10 caractère, avec au minimum une lettre, un chiffre et un signe et doit être modifié tous les trois mois.
Les applications sont uniquement accessibles à partir du réseau interne de l’entreprise X. Si les collaborateurs de l’entreprise X veulent travailler à domicile, ils peuvent avoir accès au réseau interne par le biais d’une connexion VPN. Une authentification avec deux facteurs est requise pour ce faire, ce qui implique que le collaborateur doit se connecter avec un outil de vérification supplémentaire (par exemple : un soft-token), en plus du nom d’utilisateur et du mot de passe.
De plus, l’entreprise X utilise un antivirus pour lutter contre les virus. Des mesures sont également prises pour garantir que l’accès depuis l’extérieur (par des personnes non autorisées) est protégé. Les serveurs Web des applications sont gérés par une partie externe et ils ont pris des mesures pour garantir la protection, comme l’utilisation de pare-feux, la segmentation de réseau (le serveur est placé dans un DMZ), et le contrôle de l’accès physique au bâtiment et aux serveurs.

9. Est-ce que les identifiants numériques personnels, comme les adresses numéro de service citoyen ou IP, sont enregistrés ou envoyés sous des pseudonymes ?
Cliquez ici pour un exemple

Pour le traitement des demandes, on n’utilise pas d’identifiants numériques personnels. Cependant, pour la communication avec l’administration fiscale, il faut utiliser une adresse numéro de service citoyen. L’adresse numéro de service citoyen est un exemple d’identifiant numérique personnel, parce que c’est un numéro unique et qui peut être ramené à la personne. L’entreprise X enregistre l’adresse numéro de service citoyen sous un pseudonyme, ce qui implique que le numéro est rendu illisible avec une fonction de hachage cryptographique.

10. Est-ce que des données particulières sont enregistrées sous une clé ?
Cliquez ici pour un exemple

Par données particulières, nous entendons entre autres la religion, la race, l’orientation sexuelle, la santé, l’adhésion à une association professionnelle et le comportement pénal, mais également des données biométriques, comme les empreintes digitales, la voix, l’écriture et des scans de la rétine.
L’entreprise X a choisi d’enregistrer les données particulières sous une clé. L’enregistrement sous une clé de données implique que les données sur la base d’un algorithme ne sont pas lisibles pour les personnes non compétentes. À des fins d’analyse et de contrôle, les données sont rendues anonymes et seulement affichées au format agrégé. Les données rendues anonymes ne sont pas des données à caractère personnel et ne ressortent pas du GDPR.

11. Est-ce que les personnes concernées sont mises au courant de leur droit de consulter, de corriger et de faire supprimer leurs données ? Les personnes concernées ont également le droit que leurs données puissent être transmises à un autre responsable en toute facilité. Est-ce que votre organisation peut réellement satisfaire ces demandes ?
Cliquez ici pour un exemple

Les conditions générales de l’entreprise X stipulent que les personnes concernées (les clients et les clients potentiels) ont le droit de consulter, de corriger et de faire supprimer leurs données. Étant donné que l’entreprise X a indiqué dans le registre où sont reprises les données à caractère personnel (dans quels systèmes), elle peut facilement satisfaire des demandes de ce genre. À ce niveau, elle doit toutefois tenir compte des autres obligations (légales) ou intérêts des tierces parties, qui font que la suppression des données ou la consultation n’est pas autorisée. Par exemple, les données financières doivent être conservées 7 ans et ne peuvent pas être supprimées.

12. Avez-vous confié en sous-traitance les activités de traitement des données à caractère personnel ? Si c’est le cas, avez-vous conclu un accord de traitement avec la tierce partie ?
Cliquez ici pour un exemple

L’entreprise X a conclu un accord de traitement avec son fournisseur de suivi. Cet accord comprend :
les activités qui sont exécutées sous la responsabilité de la coopérative de logement par le prestataire de services
• la façon dont le prestataire de services gère les données
• les mesures que le prestataire de services a prises pour garantir la protection des données
• le droit de l’entreprise X de réaliser des audits à propos du fournisseur de suivi
Contactez-nous pour un modèle de contrat de traitement pour votre prestation de services de suivi avec RAM.

13. Faites-vous réaliser périodiquement une Privacy Impact Assessment (PIA) ?
Cliquez ici pour un exemple

L’entreprise X teste actuellement une importante mise à jour pour l’application « Reparatieapp », ce qui fait que l’application sera encore mieux protégée. Étant donné qu’il s’agit d’une importante adaptation système qui peut avoir un impact sur la déclaration de confidentialité des personnes concernées, l’entreprise X fait réaliser une Privacy Impact Assessment (PIA) sur ce système par un auditeur externe. Les risques pourront être mitigés prématurément à l’aide des résultats de la PIA.

14. Avez-vous désigné, au sein de votre organisation, un fonctionnaire pour la protection des données (Data Privacy Officer, ou DPO) qui surveille le traitement des données à caractère personnel ?
Cliquez ici pour un exemple

Le fonctionnaire de l’entreprise X contrôle la gestion des données à caractère personnel au sein de l’organisation et si l’organisation satisfait au GDPR et à la réglementation applicable.

Est-ce que votre organisation doit obligatoirement désigner un DPO ? Pour en savoir plus.

La désignation d’un fonctionnaire pour la protection des données (DPO) est obligatoire dans trois situations, comme cela est stipulé à l’article 37 du Règlement :

1. le traitement est réalisé par une instance publique ou un organisme public, sauf dans le cas des tribunaux lors de l’exercice de leurs missions judiciaires ; Des instances publiques donc (en résumé, les tribunaux sont dispensés de contrôle en raison de l’indépendance judiciaire).

2. un responsable du traitement ou la personne chargée du traitement est principalement chargée des traitements qui, en raison de leur nature, de leur importance et/ou de leurs objectifs, nécessitent une observation régulière et systématique à grande échelle des personnes concernées ; Il doit donc s’agir de la réalisation d’une observation régulière et systématique à grande échelle des personnes concernées. Nous pensons aux bureaux de recherche, mais aussi aux sociétés Internet qui proposent des services pour contrôler les visites des sites Web d’une manière très détaillée (analyses).

3. le responsable du traitement ou la personne chargée du traitement est principalement chargée du traitement à grande échelle [données à caractère personnel particulières et pénales] ; ce sont par exemple des données à caractère personnel à propos de la race, de l’orientation sexuelle ou des convictions politiques.

15. Avez-vous un aperçu de l’éventuelle législation et réglementation sectorielles qui peuvent avoir de l’importance en plus du GDPR ? (services de police et de recherche, secteur médical, forces armées, journalisme et médias, secteur des télécoms, etc.)
Cliquez ici pour un exemple

Outre le GDPR, une autre législation est également d’application dans l’entreprise X. Le data privacy officer a établi un aperçu de toute la législation à laquelle la coopérative de logement doit satisfaire. Ils sont ainsi entre autres confrontés à différentes législations et ils doivent satisfaire, tout comme chaque entrepreneur, à l’obligation de conservation fiscale qui oblige à conserver les données financières pendant 7 ans.

 

Rejet de responsabilité

Cette liste de contrôle GDPR a également été rendue possible grâce à Eset et Mazars. Aucun droit ne peut y être aliéné. La liste de contrôle comprend exclusivement des informations générales.