Service de mise en conformité RGPD

Neodia propose une prestation de mise en conformité RGPD qui s'articule autre de 5 étapes

1. Audit général

2. Etat des lieux détaillé / Cartographie des traitements

3. Mise en conformité

4. Production des documents obligatoires

5. Tests de conformité

 

1. Audit

Objectif: planifier la mise en conformité en intégrant l'ensemble des points sensibles

Kick off meeting

  • Analyse de l’exposition de l’entreprise au RGPD
  • Activité de base
  • Périmètre d’utilisation des données à caractère personnel
  • Echelle d'utilisation des données à caractère personnel

Audit

•    Audit juridique (en tant qu’exploitant / sous-traitant)
•    Audit organisationnel (en tant qu’exploitant / sous-traitant)
•    Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
•    Audit informatique (en tant qu’exploitant / sous-traitant)
•    Audit sécurité (en tant qu’exploitant / sous-traitant)

Livrables

Gouvernance

  • Désignation d’un DPO
  • Identification des responsabilité dans le dossier GDPR
  • Identification des rôles dans le process de mise en conformité

Mesure de l’effort à réaliser

  • Liste des chantiers
  • Volume de travail,
  • Collaborateurs impliqués
  • Incertitudes, risques, traitements sensibles

Définition des documents modèles à remplir

Présentation de la méthode de travail pour les étapes suivantes

Planning

2.   Etat des lieux

Objectif : mesurer les écarts entre l’état actuel et les obligations du RGPD

Inventaire des procédures déjà en place

Charte informatique

Politique des données personnelles

PSSI

Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables

Organisation du système d’information

Analyse des déclarations existantes

Création du registre des traitements

Analyse de l’impact des traitements des données

Limites

Données sensibles

Personnes vulnérables concernées par les traitements

Gestion des cas de transfert hors UE

Inventaires des sites, applications, extranets, intranets, objets connectés collectant des informations personnelles

Cas des fichiers Ecommerce

Liste des systèmes de tracking installés

Web analytics /Mobile Analytics

Optimisation de taux de conversion (A/B Testing)

Tracking du ROI des campagnes online

Fichiers marketing

Sites de génération de leads

Ecommerce

Lead Nurturing

Mailing papier

Flux internes/externes

Liste des prestataires

Emailing

Newsletter

Autres envois d'emails

Réseaux sociaux

Programme de fidélisation offline

DMP/Ecrm

Intelligence Artificielle

Carnets de contacts personne

Pour chaque fichier :

Gérer les aspects légaux

Auditer la sécurité

Qualifier

·Déterminer s’ils contiennent des données à caractère personnel  (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)

·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)

·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation

·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée

Identifier les traitements

Analyser le niveau de protection

·Privacy by design, Privacy by default

·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)

Identifier les liens avec les nœuds critiques du RGPD

· Mentions légales

· Cookies

· Consentement

· Pseudonymisation des données ou non

· Portabilité/supression/modication

Réaliser une étude d’impact pour les traitements sensibles

Contenu d’une étude d’impact sur les données personnelles/DPIA

Personnels/SOUS TRAITANTS impliqués

Dans la création de nouvelles bases de données

Dans la collecte

Dans le traitement : qualification, analyse BigData, IA, enrichissement

Dans la protection

Dans l’exploitation : qualification, envoi de messages,

Sécurité

Qui a accès

Qui peut voler les bases de données

Qui peut pirater les bases de données

Sont-elles diffusées sur internet ?

Réaction de cas de découverte de faille

Recommandation en vue de la mise en conformité

Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points

Procédure

Aspects contractuels

Sécurité

Livrables : Rapport de mesure des écarts avec le RGPD

3. Mise en conformité

Définition d’un plan de mise en conformité opérationnel

·Plan d’action interne

·Plan d’action vis-à-vis des tiers

Actions internes

Contrats

o   Par traitement, recueil de consentement

o   Par traitement, mise à jour du contrat et de l’information

Informatique

Par base de données, intégration des fonctionnalités liées à la mise en conformité

•Droit à l’oubli

•Anonymisation

•Purge des données non indispensables

•Purge des données obsolètes

•Portabilité

•Chiffrement

•Gestion des consentements

Sécurisation

o   Accès par chiffrement fort aux bases de données,

o   Gestion des attaques

o   Réactions aux violations,

o   Identification et gestion des vulnérabilités

o   Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,

o   Plan d’audits, norme et annexes

Organisation

o   Définition des responsabilités de gouvernance globale :

o   Hestion de la sécurité,

o   Politique de sécurité de l’information,

o   Objectifs de sécurité

o   Responsabilité en matière de sécurité

o   Modification des process par métier

o   Gestion des droits d’accès par collaborateur

o   Process de mise en conformité

o   Process de contrôle de conformité

o   Formation « Privacy by design », « Privacy by default »

Actions vis-à-vis des tiers

Contrats

Informatique

Organisation

Plan de gestion crise/viol des données

Gestion des évolutions

Gestion des risques

Prévention

Réaction en cas d’attaque réussie

4. Production de documents obligatoires

Documentation initiale

Coffre fort

Mise à jour

5. Tests de conformité

Pratiques

Trace et preuves

Accountability