Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

PIA, les modèles Édition février 2018 Attention : ces modèles et bases de conna

PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 1 Table des matières Avant-propos ......................................................................................................................................... 2 1 Modèles utiles à l’étude du contexte ................................................................................................... 4 1.1 Vue d'ensemble .................................................................................................................................................................. 4 Présentation du(des) traitement(s) considéré(s) .................................................................................................... 4 Recensement des référentiels applicables au traitement ....................................................................................... 4 1.2 Données, processus et supports ........................................................................................................................................ 4 Description des données, destinataires et durées de conservation ........................................................................ 4 Description des processus et supports .................................................................................................................... 4 2 Modèles utiles à l’étude des principes fondamentaux ........................................................................ 5 2.1 Évaluation des mesures garantissant la proportionnalité et la nécessité du traitement ................................................ 5 Explication et justification des finalités .................................................................................................................. 5 Explication et justification du fondement ............................................................................................................... 5 Explication et justification de la minimisation des données ................................................................................... 6 Explication et justification de la qualité des données ............................................................................................. 6 Explication et justification des durées de conservation .......................................................................................... 6 Évaluation des mesures .......................................................................................................................................... 6 2.2 Évaluation des mesures protectrices des droits des personnes des personnes concernées ........................................... 7 Détermination et description des mesures pour l’information des personnes ....................................................... 7 Détermination et description des mesures pour le recueil du consentement ......................................................... 8 Détermination et description des mesures pour les droits d’accès et à la portabilité ............................................ 9 Détermination et description des mesures pour les droits de rectification et d’effacement ................................ 10 Détermination et description des mesures pour les droits de limitation du traitement et d’opposition .............. 10 Détermination et description des mesures pour la sous-traitance ....................................................................... 11 Détermination et description des mesures pour le transfert de données en dehors de l’Union européenne ....... 12 Évaluation des mesures ........................................................................................................................................ 12 3 Modèles utiles à l’étude des risques liés à la sécurité des données .................................................. 13 3.1 Évaluation des mesures ................................................................................................................................................... 13 Description et évaluation des mesures contribuant à traiter des risques liés à la sécurité des données ............. 13 Description et évaluation des mesures générales de sécurité .............................................................................. 15 Description et évaluation des mesures organisationnelles (gouvernance) .......................................................... 19 3.2 Appréciation des risques : les atteintes potentielles à la vie privée .............................................................................. 21 Analyse et estimation des risques ........................................................................................................................ 21 Évaluation des risques .......................................................................................................................................... 21 4 Modèles utiles à la validation du PIA ............................................................................................... 21 4.1 Préparation des éléments utiles à la validation .............................................................................................................. 22 Élaboration de la synthèse relative à la conformité au [RGPD] des mesures permettant de respecter les principes fondamentaux ....................................................................................................................................... 22 Élaboration de la synthèse relative à la conformité aux bonnes pratiques des mesures des mesures contribuant à traiter les risques liés à la sécurité des données ................................................................................................ 22 Élaboration de la cartographie des risques liés à la sécurité des données ........................................................... 24 Élaboration du plan d’action ................................................................................................................................ 24 Formalisation du conseil de la personne en charge des aspects « Informatique et libertés » .............................. 24 Formalisation de l’avis des personnes concernées ou de leurs représentants...................................................... 25 4.2 Validation formelle .......................................................................................................................................................... 25 Formalisation de la validation .............................................................................................................................. 25 PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 2 Avant-propos La méthode de la CNIL est composée de trois guides, décrivant respectivement la démarche, des modèles utiles pour formaliser l’étude et des bases de connaissances (un catalogue de mesures destinées à respecter les exigences légales et à traiter les risques, et des exemples) utiles pour mener l'étude : Ils sont téléchargeables sur le site de la CNIL : https://www.cnil.fr/fr/PIA-privacy-impact-assessment Conventions d’écriture pour l’ensemble de ces documents :  le terme « vie privée » est employé comme raccourci pour évoquer l’ensemble des libertés et droits fondamentaux (notamment ceux évoqués dans le [RGPD], par les articles 7 et 8 de la [Charte-UE] et l’article 1 de la [Loi-I&L] : « vie privée, identité humaine, droits de l’homme et libertés individuelles ou publiques ») ;  l’acronyme « PIA » est utilisé pour désigner indifféremment Privacy Impact Assessment, étude d’impact sur la vie privée (EIVP), analyse d'impact relative à la protection des données, et Data Protection Impact Assessment (DPIA) ;  les libellés entre crochets ([libellé]) correspondent aux références bibliographiques. PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 3 Attention : les bases de connaissances présentées dans ce guide constituent une aide à la mise en œuvre de la démarche. Il est tout à fait possible et même souhaitable de les adapter à chaque contexte particulier. PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 4 1 Modèles utiles à l’étude du contexte 1.1 Vue d'ensemble Présentation du(des) traitement(s) considéré(s) Description du traitement1 Finalités du traitement Enjeux du traitement Responsable du traitement Sous-traitant(s) Recensement des référentiels applicables au traitement2 Référentiels applicables au traitement Prise en compte 1.2 Données, processus et supports Description des données, destinataires et durées de conservation Données Destinataires Durées de conservation Description des processus et supports [insérer un schéma des flux de données et la description détaillée des processus mis en œuvre] Processus Description détaillée du processus Supports des données concernés PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 5 1 Sa nature, sa portée, son contexte, etc. 2 Voir article 35 (8) du [RGPD]. 2 Modèles utiles à l’étude des principes fondamentaux 2.1 Évaluation des mesures garantissant la proportionnalité et la nécessité du traitement Explication et justification des finalités Finalités Légitimité Explication et justification du fondement Critères de licéité Applicable Justification La personne concernée a consenti1 au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celleci Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant2 1 Concernant le recueil du consentement de la personne et son information, voir le 2.2. 2 Ce point ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions. PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 6 Explication et justification de la minimisation des données Détail des données traitées Catégories Justification du besoin et de la pertinence des données Mesures de minimisation Explication et justification de la qualité des données Mesures pour la qualité des données Justification Explication et justification des durées de conservation Types de données Durée de conservation Justification de la durée de conservation Mécanisme de suppression à la fin de la conservation Données courantes Données archivées Traces fonctionnelles Journaux techniques (logs) Évaluation des mesures Mesures garantissant la proportionnalité et la nécessité du traitement Acceptable / améliorable ? Mesures correctives Finalités : déterminées, explicites et légitimes Fondement : licéité du traitement, interdiction du détournement de finalité Minimisation des données : adéquates, pertinentes et limitées PIA, les modèles Édition février 2018 Attention : ces modèles et bases de connaissances peuvent devoir être adaptés, et devraient être utilisés en support du guide "PIA, la méthode". 7 Qualité des données : exactes et tenues à jour Durées de conservation : limitées 2.2 Évaluation des mesures protectrices des droits des personnes des personnes concernées Détermination et description des mesures pour l’information des personnes Si le traitement bénéficie d’une exemption au droit d’information, prévue par l’article 32 de la [LoiI&L] et les articles 12, 13 et 14 du [RGPD] : Dispense d’information des personnes concernées Justification Dans le cas contraire : Mesures pour le droit à l’information Modalités de mise en œuvre Justification des modalités ou de l’impossibilité de leur mise en œuvre Présentation des conditions d’utilisation/confidentialité Possibilité d’accéder aux conditions d’utilisation/confidentialité Conditions lisibles et compréhensibles Existence de clauses spécifiques au dispositif Présentation détaillée des finalités des traitements de données (objectifs précis, croisements de données s’il y a lieu, etc.) Présentation détaillée des données personnelles collectées Présentation des éventuels accès à des identifiants de l’appareil, en précisant si ces identifiants sont communiqués à des tiers Présentation des droits de la personne concernée (retrait du consentement, suppression de données, etc.) PIA, les modèles Édition février 2018 Attention : ces uploads/Sante/ cnil-pia-2-fr-modeles.pdf