Service de mise en conformité RGPD
Neodia propose une prestation de mise en conformité RGPD qui s'articule autre de 5 étapes
2. Etat des lieux détaillé / Cartographie des traitements
4. Production des documents obligatoires
1. Audit
Objectif: planifier la mise en conformité en intégrant l'ensemble des points sensibles
Kick off meeting
- Analyse de l’exposition de l’entreprise au RGPD
- Activité de base
- Périmètre d’utilisation des données à caractère personnel
- Echelle d'utilisation des données à caractère personnel
Audit
• Audit juridique (en tant qu’exploitant / sous-traitant)
• Audit organisationnel (en tant qu’exploitant / sous-traitant)
• Audit business (traitements par métier) (en tant qu’exploitant / sous-traitant)
• Audit informatique (en tant qu’exploitant / sous-traitant)
• Audit sécurité (en tant qu’exploitant / sous-traitant)
Livrables
Gouvernance
- Désignation d’un DPO
- Identification des responsabilité dans le dossier GDPR
- Identification des rôles dans le process de mise en conformité
Mesure de l’effort à réaliser
- Liste des chantiers
- Volume de travail,
- Collaborateurs impliqués
- Incertitudes, risques, traitements sensibles
Définition des documents modèles à remplir
Présentation de la méthode de travail pour les étapes suivantes
Planning
2. Etat des lieux
Objectif : mesurer les écarts entre l’état actuel et les obligations du RGPD
Inventaire des procédures déjà en place
Charte informatique
Politique des données personnelles
PSSI
Clauses concernant le traitement des données personnelles dans les contrats avec les sous traitants, co-responsables
Organisation du système d’information
Analyse des déclarations existantes
Création du registre des traitements
Analyse de l’impact des traitements des données
Limites
Données sensibles
Personnes vulnérables concernées par les traitements
Gestion des cas de transfert hors UE
Inventaires des sites, applications, extranets, intranets, objets connectés collectant des informations personnelles
Cas des fichiers Ecommerce
Liste des systèmes de tracking installés
Web analytics /Mobile Analytics
Optimisation de taux de conversion (A/B Testing)
Tracking du ROI des campagnes online
Fichiers marketing
Sites de génération de leads
Ecommerce
Lead Nurturing
Mailing papier
Flux internes/externes
Liste des prestataires
Emailing
Newsletter
Autres envois d'emails
Réseaux sociaux
Programme de fidélisation offline
DMP/Ecrm
Intelligence Artificielle
Carnets de contacts personne
Pour chaque fichier :
Gérer les aspects légaux
Auditer la sécurité
Qualifier
·Déterminer s’ils contiennent des données à caractère personnel (immatriculation, numéro de sécurité sociale, localisation, date de naissance, adresse électronique, informations de paiement, numéro de téléphone, empreinte, etc..)
·Déterminer si elles contiennent des données sensibles (Opinions religieuses, orientations sexuelles, données médicales ou biométriques, sanctions administratives ou suspicions). Les données religieuses, syndicales ou raciales sont encadrées par la loi de 1978)
·Déterminer, par conséquence, s’il y a dispense, norme simplifiée, déclaration normale, demande d’autorisation
·Déterminer s’il y a des contacts hors UE à traiter de façon différenciée
Identifier les traitements
Analyser le niveau de protection
·Privacy by design, Privacy by default
·Sécurisation physiques (batîments) et logicielle (firewall, anti virus, pseudonymisation…)
Identifier les liens avec les nœuds critiques du RGPD
· Mentions légales
· Cookies
· Consentement
· Pseudonymisation des données ou non
· Portabilité/supression/modication
Réaliser une étude d’impact pour les traitements sensibles
Contenu d’une étude d’impact sur les données personnelles/DPIA
Personnels/SOUS TRAITANTS impliqués
Dans la création de nouvelles bases de données
Dans la collecte
Dans le traitement : qualification, analyse BigData, IA, enrichissement
Dans la protection
Dans l’exploitation : qualification, envoi de messages,
Sécurité
Qui a accès
Qui peut voler les bases de données
Qui peut pirater les bases de données
Sont-elles diffusées sur internet ?
Réaction de cas de découverte de faille
Recommandation en vue de la mise en conformité
Un document de mesure des écarts est rempli au fil de l’audit et s’intéresse à 4 points
Procédure
Aspects contractuels
Sécurité
Livrables : Rapport de mesure des écarts avec le RGPD
3. Mise en conformité
Définition d’un plan de mise en conformité opérationnel
·Plan d’action interne
·Plan d’action vis-à-vis des tiers
Actions internes
Contrats
o Par traitement, recueil de consentement
o Par traitement, mise à jour du contrat et de l’information
Informatique
Par base de données, intégration des fonctionnalités liées à la mise en conformité
•Droit à l’oubli
•Anonymisation
•Purge des données non indispensables
•Purge des données obsolètes
•Portabilité
•Chiffrement
•Gestion des consentements
Sécurisation
o Accès par chiffrement fort aux bases de données,
o Gestion des attaques
o Réactions aux violations,
o Identification et gestion des vulnérabilités
o Gestion de la sécurité des sous-traitants : sécurité physiques de l’hébergement de données,
o Plan d’audits, norme et annexes
Organisation
o Définition des responsabilités de gouvernance globale :
o Hestion de la sécurité,
o Politique de sécurité de l’information,
o Objectifs de sécurité
o Responsabilité en matière de sécurité
o Modification des process par métier
o Gestion des droits d’accès par collaborateur
o Process de mise en conformité
o Process de contrôle de conformité
o Formation « Privacy by design », « Privacy by default »
Actions vis-à-vis des tiers
Contrats
Informatique
Organisation