Mon diagnostic RGPD - Mission RGPD

Bonjour ! Je suis votre assistante Mission RGPD, je vais vous guider tout au long de vos démarches de conformité RGPD. Estimons ensemble votre niveau de conformité. Ensuite, je vous proposerai de récupérer mes conseils d'experte pour vous aider dans votre démarche.

Dans quelques minutes, vous obtiendrez votre score de conformité sur une note de 0 à 100 et votre feuille de route pour votre mise en conformité.

On commence ?

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

Votre organisation

Afin de définir le profil de votre organisation, j'ai quelques questions à vous poser.

1. Quel est votre secteur d'activité ?

2. Quel est le domaine d'expertise de votre organisation ?

Précisez...

3. Appartenez-vous à un groupe (de sociétés, une fédération, une communauté de communes) ?

Combien d'entités composent votre groupe ?

4. Quel est l'effectif global au sein de votre organisation (nombre total de collaborateurs) ?

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

11%

Votre profil

Dites-moi en un peu plus sur vous ! J'ai besoin de quelques informations pour établir votre profil et ainsi personnaliser mes conseils.

5. Quel est votre domaine d'expertise ?

Précisez...

6. Quel profil avez-vous ?

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

22%

Le RGPD & Vous

Passons aux choses sérieuses ! Si vous faites appel à moi, vous avez forcément entendu parler du RGPD.

7. Une personne dédiée au RGPD a-t-elle été désignée au sein de votre organisation ?

L'article 37 du RGPD rend obligatoire la désignation d'un DPO (délégué à la protection des données) dans 3 hypothèses :

• Vous êtes un organisme public (collectivité, mairies, etc.) ;
• Vous exercez une activité qui implique un suivi régulier et systématique des personnes concernées ;
• Vous exercez une activité qui implique un traitement à grande échelle de données sensibles (exemple : données de santé, biométriques, relatives à la race, la religion, etc.) ou des données concernant des condamnations pénales et infractions.

Même si vous n'êtes pas dans ces 3 cas, il est fortement recommandé de nommer une personne en charge de l'application du RGPD.

Êtes-vous l'heureux élu ?

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

33%

RGPD & Site internet

Le premier moyen d'estimer votre sensibilité à la protection des données c'est de naviguer sur votre site internet vitrine. En 2021, la CNIL a opéré 173 contrôles en ligne (d'après le rapport d'activité 2021 de la CNIL). Identifions ensemble les données personnelles collectées via votre site internet.

8. Est-ce que votre site internet comporte l'un des éléments suivants ? (cochez le ou les éléments qui vous concernent)

Un formulaire de contact, de demande devis ou d'informations
Un espace de vente en ligne
Un formulaire d'inscription à une newsletter
Un compte utilisateur ou client

Des cookies

Visionnez notre vidéo 1 min pour tout comprendre sur les cookies

Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les internautes sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différents outils techniques, les « traceurs », dont font partie les cookies.

Certains traceurs peuvent être utilisés sans recueillir le consentement du visiteur. Il s'agit des traceurs strictement nécessaires à la fourniture du service de communication en ligne, expressément demandé par le visiteur ou bien des traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique. Sont concernés notamment :

• Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• Les traceurs destinés à l'authentification auprès d'un service, y compris ceux visant à assurer la sécurité du mécanisme d'authentification, par exemple en limitant les tentatives d'accès robotisées ou inattendues ;
• Les traceurs destinés à garder en mémoire le contenu d'un panier d'achat sur un site marchand ou à facturer, à l'utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• Des traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d'un service), lorsqu'une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• Les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
• Les traceurs permettant aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• Certains traceurs de mesure d'audience dès lors qu'ils respectent certaines conditions.

Les autres traceurs doivent, pour être utilisés, avoir fait l'objet de l'accord préalable et éclairé du visiteur. Il s'agit notamment des traceurs liés à l'affichage de la publicité personnalisée ou non personnalisée (dès lors que des traceurs sont utilisés pour mesurer l'audience de la publicité affichée dans ce dernier cas) ou encore à des fonctionnalités de partage sur les réseaux sociaux.
Vous ne savez pas si votre site comporte des cookies ? Cliquez sur l'icône cadenas de votre navigateur. Vous pouvez également utiliser l'outil Cookieviz de la CNIL.

Des cookies
Il n'y a rien de tout cela

Votre site comporte . A cette occasion vous collectez des données personnelles (un nom, un prénom, une adresse mail, etc.). Des mentions RGPD figurent-elles au bas de chaque formulaire de collecte avec un renvoi vers votre politique de confidentialité ?

Collecter des données, c'est opérer un traitement de données.

En application de l'article 13 du RGPD, vous devez informer les personnes au moment où vous collectez leurs données (sur le formulaire de contact, celui de création d'un compte utilisateur, lorsque que le visiteur passe une commande ou s'inscrit à une newsletter). Retrouvez la liste des mentions obligatoires ici. Ces informations peuvent être transmises en deux temps avec des mentions succintes au bas de chaque formulaire avec un renvoi vers une politique de confidentialité plus détaillée.

Disclaimer : Ma question porte uniquement sur une partie des informations obligatoires devant figurer au sein de vos mentions. La liste n'est pas exhaustive et même si vous avez tout juste ici, vos mentions ne sont peut être pas complètes. Nous avons choisi de cibler les erreurs les plus souvent rencontrées.

Pour rappel, les informations suivantes doivent figurer au sein de vos mentions d'informations (soit au bas des formulaires de collecte et au sein de votre politique de confidentialité) :

• Identité et coordonnées du responsable de traitement,
• Finalités et base légale du traitement réalisé grâce aux informations collectées via chaque formulaire,
• Lorsque le traitement est fondé sur l'intérêt légitime, il faut préciser l'intérêt légitime poursuivi,
• Destinataires des données,
• Transfert hors UE et garanties autorisant le transfert le cas échéant (CCT, BCR, exception article 49 §1, etc.),
• Durées de conservation des données collectées en fonction de leur utilisation,
• Droits opposables et modalités d'exercice des droits,
• Contact du DPO,
• Existence d'une prise de décision automatisée le cas échéant,
• Obligation ou non de renseigner les données, conséquences si refus de communiquer les données.

Vos mentions d'information complétées par votre politique de confidentialité comportent-elles les mentions suivantes :

Les durées pendant lesquelles vous conservez les données collectées

Vous devez prévoir une durée de conservation des données limitée. S'il n'est pas possible d'indiquer une durée précise de conservation, indiquez aux personnes le moyen que vous utilisez pour calculer le temps de conservation. Pour en savoir plus sur les durées de conservation, visionnez le replay de notre webinar sur le sujet

Les durées pendant lesquelles vous conservez les données collectées

Les finalités et bases juridiques applicables à chaque traitement

Un traitement de données c'est l'ensemble des opérations réalisées sur des données personnelles (par exemple la collecte, la sauvegarde ou l'utilisation de données).

La finalité du traitement c'est l'objectif poursuivi par le traitement (par exemple la gestion de la newsletter est une finalité de traitement de données personnelles).

La base légale du traitement c'est le fondement juridique autorisant un traitement licite des donnée (ex : l'exécution d'un contrat, le respect d'une obligation légale, le consentement, etc.). Il existe au total 6 bases légales que vous pouvez consulter ici.

Les finalités et bases juridiques applicables à chaque traitement

Le droit pour les utilisateurs du site d'introduire une réclamation auprès de l'autorité de contrôle compétente (la CNIL par exemple)

Vous devez informer les personnes des droits qu'elles peuvent exercer, notamment le droit de saisir la CNIL (autorité française compétente en matière de protection des données personnelles).

Le droit pour les utilisateurs du site d'introduire une réclamation auprès de l'autorité de contrôle compétente (la CNIL par exemple)

Les destinataires ou catégories de destinataires des données

Les destinataires de données sont les personnes physiques ou morales à qui vous transférez les données. Il peut s'agir par exemple d'un prestataire informatique en charge de l'hébergement de votre site. De ce fait il est qualifié au sens du RGPD de sous-traitant dans la mesure où il participe pour votre compte au traitement de ces données.

Vous n'êtes pas forcé de nommer vos destinataires mais vous pouvez dresser une liste de catégories de destinataires. Par exemple : hébergeur, fournisseur d'un logiciel SaaS de CRM connecté à votre site, éditeur de solution d'emailing etc.

Les destinataires ou catégories de destinataires des données
Il n'y a rien de tout cela

Votre site utilise des cookies. Est-ce que votre site prévoit :

Un bandeau cookies qui distingue et explique les familles de cookies présentes sur le site (techniques, publicitaires, de statistiques, de réseaux sociaux etc.).
La possibilité de paramétrer à tout moment le dépôt de cookies publicitaires, statistiques, de réseaux sociaux.
La possibilité d'accepter ou de refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
Il n'y a rien de tout cela

Un bandeau cookies est un message destiné aux visiteurs de votre site internet. Il poursuit un double objectif :

• Informer les visiteurs des types de cookies déposés, de leurs finalités et des droits qu'ils peuvent exercer à ce sujet,
• Recueillir et paramétrer le consentement des visiteurs au dépôt des cookies.
En 2020, la CNIL a publié ses recommandations et lignes directrices en la matière.

A ce titre, afin d'être conforme, votre site doit respecter les points d'attention suivants :

• L'ensemble des finalités d'usage liées aux traceurs doit être présenté au visiteur au moment de faire son choix. Pour des raisons de clarté et de concision, cette première description peut être limitée à une brève présentation des objectifs poursuivis par les traceurs ; une description plus détaillée peut être fournie à l'utilisateur dans un second temps.
• Le visiteur doit avoir accès à une liste, régulièrement mise à jour, qui répertorie l'identité des responsables de traitement qui déposent des cookies. Cette liste doit être accessible avant que le consentement soit donné. Ces éléments peuvent être listés directement ou indirectement (via un lien hypertexte par exemple) sur le premier niveau d'information.
• Le visiteur doit pouvoir consentir par un acte positif clair (système de cases à cocher) : le silence ou la simple poursuite de leur navigation doit s'interpréter comme un refus.
• Les personnes doivent pouvoir refuser de donner leur consentement aussi facilement que l'accorder.
• Le visiteur doit pouvoir faire un choix par finalité : il est recommandé de permettre au visiteur de donner son consentement de façon indépendante et spécifique pour chaque finalité. Il est possible de proposer à l'utilisateur de consentir de manière globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l'ensemble des finalités est présenté préalablement.
• Les choix du visiteur doivent, en principe, être conservés durant toute la navigation sur le site. La CNIL recommande que le choix exprimé, qu'il s'agisse d'un consentement ou d'un refus, soit enregistré de manière à ne pas solliciter le visiteur à nouveau pendant un certain laps de temps. Une durée de six mois, tant pour le consentement que pour le refus, est en général considérée comme appropriée.
• Le visiteur doit pouvoir revenir sur sa décision à tout moment : il doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou un autre mécanisme de gestion des cookies, accessible à tout moment sur le service concerné. Retirer son consentement doit être aussi facile que le donner.
• Les personnes doivent pouvoir refuser de donner leur consentement aussi facilement que l'accorder.
• Les responsables de traitements doivent être en mesure de démontrer à la CNIL qu'ils ont recueilli un consentement valide.

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

44%

RGPD & Droits des personnes

Les personnes sont de plus en plus sensibles à la protection de leurs données personnelles. Généralement, les personnes prennent d'abord contact avec vous pour exercer leurs droits. Mais si elles se trouvent insatisfaites, elles risquent de signaler vos pratiques à l'autorité compétente. En 2021, la CNIL a reçu plus de 14 000 plaintes de la part de particuliers soucieux de la protection de leurs données (source : rapport annuel de la CNIL 2021). Ces plaintes auprès des autorités peuvent donner lieu à des contrôles de conformité.

9. Une personne vous a-t-elle déjà demandé (il peut s'agir d'un salarié, un client, un prospect, un utilisateur du site internet, un administré, etc.)

De ne plus recevoir vos communications par mail

Il peut s'agir d'une newsletter, de mails de prospection, d'invitations à des évènements, etc. La personne concernée exerce à ce titre son droit d'opposition. Retrouvez notre article de blog sur le sujet ici

De ne plus recevoir vos communications par mail

D'obtenir une copie des données que vous détenez à son sujet

Il s'agit d'une demande fondée sur le droit d'accès ou le droit à la portabilité. Retrouvez nos articles de blogs sur le sujet ici et ici.

D'obtenir une copie des données que vous détenez à son sujet

De mettre à jour et/ou modifier les données que vous détenez à son sujet

Il s'agit d'une demande fondée sur le droit de rectification. Retrouvez notre article de blog sur le sujet ici.

De mettre à jour et/ou modifier les données que vous détenez à son sujet

De connaitre la manière dont vous avez obtenu ses données de contact (mail, téléphone, etc.)

Il s'agit d'une demande fondée sur le droit d'accès. Retrouvez notre article de blog sur le sujet ici.

De connaitre la manière dont vous avez obtenu ses données de contact (mail, téléphone, etc.)
Cela ne nous est jamais arrivé

Vous avez alors déjà reçu une demande d'exercice de droits au sens du RGPD. Avez-vous réalisé les démarches suivantes :

Avoir accusé réception de cette demande

Cette obligation découle de l'article 12 du RGPD. Le responsable de traitement doit notifier à la personne qu'il a prit connaissance de sa demande.

Avoir accusé réception de cette demande

Être revenu vers la personne dans un délai d'un mois maximum (8 jours en cas de demande portant sur des données de santé)

L'article 12.3 du RGPD prévoit l'obligation de répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut toutefois être prolongé à trois mois maximum, compte tenu de sa complexité et du nombre de demandes.

Être revenu vers la personne dans un délai d'un mois maximum (8 jours en cas de demande portant sur des données de santé)

Tenir à jour un suivi des demandes reçues et traitées

Tenir à jour votre registre des demandes d'exercice de droits participe à respecter le principe d'accountability.
Ce principe vous oblige à mettre en œuvre toutes les mesures nécessaires pour assurer votre conformité au RGPD et pouvoir démontrer qu'elles sont effectives.

Tenir à jour un suivi des demandes reçues et traitées
Nous n'avons rien fait de tout cela

Vous avez de la chance, vous ne semblez jamais avoir reçu de demandes d'exercice de droits. Encore une petite vérification néanmoins, cochez les affirmations qui vous concernent :

Nous avons prévu une procédure pour traiter et suivre ces éventuelles demandes

Le principe d'accountability vous oblige à mettre en œuvre toutes les mesures nécessaires pour assurer votre conformité au RGPD et pouvoir démontrer qu'elles sont effectives. Parmi ces mesures, la mise en place de procédures telle que la procédure de gestion des demandes d'exercice de droits vous permettent de respecter cette obligation.

Nous avons prévu une procédure pour traiter et suivre ces éventuelles demandes

Les collaborateurs de votre organisation savent comment réagir face à une demande d'exercice de droits et qui prévenir

Selon l'article 12.3 du RGPD vous disposez d'un délai d'un mois pour répondre à une demande d'exercice de droits en cas de demande simple et 3 mois maximum en cas de demande complexe. Plus l'information circule rapidement, plus la personne en charge a de temps pour répondre. Il faut sensibiliser les collaborateurs pour assurer une gestion efficace des demandes et limiter le risque de notification à la CNIL.

Les collaborateurs de votre organisation savent comment réagir face à une demande d'exercice de droits et qui prévenir

Nous avons prévu un formulaire en ligne et/ou une adresse dédiée pour recevoir ce type de demandes

Prévoir un canal dédié aux demande d'exercice de droit vous permet d'assurer leur centralisation, d'optimiser le temps accordé à leur gestion, de réaliser un suivi rigoureux de leur traitement.

Nous avons prévu un formulaire en ligne et/ou une adresse dédiée pour recevoir ce type de demandes
Rien de tout cela

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

55%

RGPD & Sécurité

La sécurité est un enjeu central de la protection des données. Les mesures techniques et organisationnelles que vous mettez en œuvre permettent d'assurer la confidentialité, l'intégrité et plus généralement la disponibilité des données. Faisons un petit état des lieux.

10. L'un des incidents suivants s'est-il déjà produit au sein de votre organisation ?

Une perte de disponibilité de votre site internet ou de votre système informatique
Un piratage informatique
Une fuite de données
La perte / le vol d'un disque dur, clé USB comportant des données personnelles
La perte / le vol d'un ordinateur, téléphone ou tablette professionnel(le)
La perte définitive de fichiers comportant des données personnelles
Une erreur d'envoi de documents au mauvais destinataire
Heureusement cela ne nous est jamais arrivé

Les cas d'usage proposés peuvent impliquer des violations de données définies par le RGPD comme :

• La destruction,
• La perte,
• L'altération,
• La divulgation,
• L'accès non autorisé à des données (de manière accidentelle ou illicite).

Il s'agit de tout incident de sécurité, d'origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l'intégrité, la confidentialité ou la disponibilité de données personnelles (source CNIL).

Vous avez subi un incident de sécurité. Cochez les affirmations qui vous concernent :

Nous avons documenté chacun de ces incidents

Le principe d'accountability oblige les acteurs du traitement de données à documenter les éléments relatifs à leur conformité, dont les incidents de sécurité. Documenter un incident c'est enregistrer la date à laquelle l'évènement s'est produit, sa nature, les catégories de données et le nombre de personnes concernées, votre évaluation du risque sur les droits et libertés des personnes et les mesures mises en oeuvre ou envisagées pour remédier à l'incident, en atténuer les conséquences ou empêcher qu'il se reproduise.

Nous avons documenté chacun de ces incidents

Nous nous sommes posés la question de la nécessité de prévenir la CNIL dans un délai de 72 h

D'après les articles 33 et 34 du RGPD, il existe trois degrés d'information en fonction de la gravité de la violation de données :

• Dans tous les cas, l'incident doit être documenté en interne. Renseignez : la date à laquelle l'évènement s'est produit, sa nature, les catégories de données et le nombre de personnes concernées, votre évaluation du risque sur les droits et libertés des personnes et les mesures mises en œuvre ou envisagées pour atténuer les conséquences de l'incident ou empêcher qu'il se reproduise.
• S'il s'agit d'une violation de données et qu'elle représente un risque pour les personnes concernées, vous devez prévenir la CNIL dans les 72h de votre connaissance de la survenue de la violation.
• Si la violation de données représente un risque élevé pour les personnes concernées, vous devez prévenir la CNIL et, dans certaines hypothèses, les personnes concernées.

Nous nous sommes posés la question de la nécessité de prévenir la CNIL dans un délai de 72 h

Nous avons évalué les risques qui pourraient exister pour les droits et libertés des personnes concernées du fait de cet incident

Face à un incident de sécurité, il convient d'évaluer les risques encourus pour les droits et libertés des personnes concernées afin de déterminer :

• Si l'incident de sécurité peut être qualifié de violation de données (définition d'une violation de données),
• La gravité du risque afin d'identifier la nécessité de prévenir la CNIL et/ou les personnes concernées,
• Les mesures à mettre en oeuvre pour remédier à l'incident.

Nous avons évalué les risques qui pourraient exister pour les droits et libertés des personnes concernées du fait de cet incident
Rien de cela

Vous êtes chanceux, vous n'avez pas (encore) subi un tel incident. Mais vous êtes-vous correctement préparé ? Pour le savoir, cochez les affirmations qui vous concernent :

Les collaborateurs de notre organisation savent comment réagir en pareille situation et qui prévenir
Nous avons une procédure établie pour traiter et suivre la résolution de ce type de situations
Rien de cela

Pour répondre au principe d'accountability, la mise en place d'une procédure de gestion des incidents est essentielle. Pour qu'elle soit effective, vous devez sensibiliser vos collaborateurs. Compte tenu du délai de notification particulièrement court (72h) prévu par le RGPD ainsi que des conséquences particulièrement dommageables que peut avoir un incident de sécurité (économique, réputationnel, matériel, etc.), il est impératif que les équipes soient préparées à une telle éventualité et soient prêtes à réagir sans céder à la panique.

11. Avez-vous un document qui récapitule l'ensemble des mesures mises en place pour sécuriser votre système informatique (sauvegarde, gestion des mots de passe, anti-virus etc.) ?

L'article 32 du RGPD relatif à la sécurité du traitement de données exige que les responsables de traitements et les sous-traitants mettent en oeuvre des mesures techniques et organisationnelles afin d'assurer un niveau de sécurité adapté aux traitements qu'ils réalisent. Ces mesures, qui peuvent être aussi bien physiques que logiques doivent être documentées, toujours dans le souci de conserver des preuves d'efforts de conformité (accountability). Parmi ces mesures, l'enjeu de la sécurité de votre système informatique est primordial. Des procédures et règles de sécurité doivent être organisées et documentées (gestion des mots de passe, accès aux locaux, sauvegarde des données, etc.).
Afin d'uniformiser les pratiques, vous pouvez recenser les mesures de sécurité que vous mettez en oeuvre dans divers documents tels qu'une politique de sécurité du système d'information (PSSI), un plan de reprise et de continuité d'activité (PRA, PCA), un plan d'assurance qualité (PAQ), etc.

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

66%

RGPD & Sous-traitance

Un sous-traitant ? Qu'est-ce que c'est ?
Le sous-traitant est toute personne morale qui traite des données personnelles, en votre nom et pour votre compte. Pour rappel, la notion de traitement de données est très large (collecte, enregistrement, organisation, conservation, etc.). Il existe alors un très grand nombre d'hypothèses dans lesquelles un sous-traitant est susceptible d'intervenir. Je vous propose quelques exemples, souvent oubliés et pourtant courant.

12. Cochez la ou les affirmations qui vous concernent :

Nous utilisons des logiciels SaaS

Un logiciel SaaS (ou Software as a Service) est un logiciel "en ligne". Il est accessible via internet, sans téléchargement sur votre matériel.

Nous utilisons des logiciels SaaS
Nous faisons appel à un prestataire informatique pour l'hébergement de notre site internet ou de notre système informatique
Nous externalisons la gestion de la paie
Nous utilisons Microsoft 365
Nous faisons appel à un prestataire informatique pour la maintenance de notre site internet ou de notre système informatique
Nous faisons appel à une agence de marketing / communication
Aucune affirmation applicable

Il apparait donc que vous faites appel à un sous-traitant au sens du RGPD. Cochez les affirmations qui vous concernent :

Nous nous sommes assurés de la conformité au RGPD de tous nos sous-traitants

Dans les cas d'usage qui vous ont été proposés à la question précédente, les prestataires sont systématiquement des sous-traitants au sens du RGPD dans la mesure où ils traitent d'une manière ou d'une autre des données personnelles que vous leur confiez (hébergement, maintenance, emailing etc.).
Un sous-traitant traite les données au nom, pour le compte et sur instructions du responsable de traitement. Pour rappel le responsable de traitement définit les moyens et finalités du traitement, il donne ses directives au sous-traitant auquel il délègue tout ou partie du traitement.

Nous nous sommes assurés de la conformité au RGPD de tous nos sous-traitants

Nous avons régularisé les contrats avec nos sous-traitants (signature d'une annexe ou avenant RGPD ou DPA reprenant les mentions obligatoires de l'article 28)

L'article 28 du RGPD encadre les relations entre le responsable de traitement et le sous-traitant. Il liste notamment les mentions obligatoires devant apparaitre dans ce contrat :

• L'objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, et les obligations et droits du responsable de traitement,
• Le sous-traitant doit agir sur instructions documentées du responsable de traitement (sauf exception prévue par le droit applicable),
• Le sous-traitant assure la confidentialité des données,
• Les mesures de sécurité requises par l'article 32,
• Les modalités de recrutements d'un sous-traitant ultérieur,
• La coopération du sous-traitant pour que le responsable de traitement réponde aux demandes d'exercice de droits des personnes,
• La coopération du sous-traitant pour aider le responsable de traitement à respecter ses obligations en matière de PIA, de consultation préalable, de sécurité et de violation de données,
• Le sous-traitant renvoie ou supprime les données au terme du contrat (selon la volonté du responsable de traitement),
• La coopération du sous-traitant pour que le responsable de traitement réalise des audits du sous-traitant et obtienne les informations nécessaires pour démontrer le respect de la réglementation.

Nous avons régularisé les contrats avec nos sous-traitants (signature d'une annexe ou avenant RGPD ou DPA reprenant les mentions obligatoires de l'article 28)
Nous connaissons la liste exhaustive des sous-traitants ultérieurs auxquels peuvent faire appel nos sous-traitants
Nous auditons régulièrement nos sous-traitants
Aucune affirmation applicable

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

77%

Documents indispensables

Avec Mission RGPD, vous mettez en place vos documents indispensables facilement grâce à un mode automatisé et des modèles prêts à être utilisés (modèles d'audit, fiches de registres, documents juridiques, etc.). Mettez à jour l'existant ou créez de nouveaux documents en toute simplicité. Voyons où vous en êtes !

13. Avez-vous les documents suivants ? (Cochez dans la liste les documents dont vous disposez)

Un registre des incidents

Le registre des incidents repertorie l'ensemble des incidents de sécurité qui ont été détectés.
Pour rappel, une violation de données est définie par le RGPD comme :

• La destruction,
• La perte,
• L'altération,
• La divulgation,
• L'accès non autorisé à des données (de manière accidentelle ou illicite).

Un registre des incidents

Un registre des demandes d'exercice de droits

Le registre des demandes d'exercice de droits est un outil qui permet de recenser et de documenter l'ensemble des demandes d'exercice de droits adressées au responsable de traitement. Avec Mission RGPD vous disposez d'un registre des incidents automatisé et vous suivez leur traitement en toute simplicité.

Un registre des demandes d'exercice de droits

Modèles de mentions d'informations

Les mentions d'informations permettent de respecter l'obligation d'informer les personnes concernées des modalités de traitement de leurs données personnelles (article 13 et article 14 du RGPD).

Modèles de mentions d'informations

Modèles de clauses RGPD pour les contrats de sous-traitance

Les contrats avec les sous-traitants doivent comporter certaines clauses pour encadrer, selon l'article 28 du RGPD :

• L'objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, et les obligations et droits du responsable de traitement,
• Les instructions que le responsable de traitement soumet au sous-traitant,
• Le sous-traitant assure la confidentialité des données,
• Les mesures de sécurité requises par l'article 32,
• Les modalités de recrutement d'un sous-traitant ultérieur,
• La coopération du sous-traitant pour que le responsable de traitement réponde aux demandes d'exercice de droits des personnes,
• La coopération du sous-traitant pour que le responsable de traitement réalise un PIA et mette en place les mesures techniques et organisationnelles pour assurer la sécurité des données personnelles,
• Le sous-traitant renvoie ou supprime les données au terme du contrat (selon la volonté du responsable de traitement),
• La coopération du sous-traitant pour que le responsable de traitement réalise des audits du sous-traitant et obtienne les informations nécessaires pour démontrer le respect de la réglementation.

Modèles de clauses RGPD pour les contrats de sous-traitance

Une charte informatique

La charte informatique définit les modalités d'utilisation et de gestion du système d'information de votre organisation. Ce document détaille les mesures de sécurité que vous mettez en place, les modalités d'utilisation du système d'information (utilisation de la messagerie professionnelle, d'internet sur le lieu de travail, des outils informatiques, etc.), etc.

Une charte informatique

Une politique de confidentialité

La politique de confidentialité est un document qui informe les personnes des modalités de traitements selon lesquelles leurs données personnelles sont utilisées et notamment :

• L'identité du responsable de traitement,
• Des données collectées et le moyen de collecte,
• Les finalités et la base légale du traitement,
• Les durées de conservation des données,
• Les destinataires ou catégories de destinataires,
• Les transferts hors UE le cas échéant,
• Les droits que les personnes peuvent exercer et les moyens disponibles pour les exercer.

Une politique de confidentialité

Des modèles de réponses aux demandes d'exercice de droits

Répondre aux demandes d'exercice de droits qui vous sont adressées est une obligation du RGPD (article 12 du RGPD). Formaliser des modèles de réponses vous permet de gagner du temps.

Des modèles de réponses aux demandes d'exercice de droits

Un registre des traitements

Le registre des activités de traitement est défini à l'article 30 du RGPD. C'est un document qui détaille a minima :

• Le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable de traitement et du délégué à la protection des données ;
• Les finalités du traitement ;
• Une description des catégories de personnes concernées et catégories de données traitées ;
• Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
• Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa, les documents attestant de l'existence de garanties appropriées ;
• Dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données ;
• Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l'article 32, paragraphe 1.

Un registre des traitements
Rien de tout cela

Comment gérez-vous votre registre des traitements ?

14. Si vous êtes contrôlé demain, pouvez-vous retrouver rapidement tous les documents dont vous avez besoin pour démontrer votre conformité ?

← Précédent

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous

88%

Mission RGPD & Vous

Mission RGPD souhaite aider les personnes chargées de la conformité RGPD au sein des organisations. Je vous guide tout au long de vos démarches et vous apporte toute mon expertise juridique pour vous faire gagner du temps.

15. Rencontrez-vous une ou plusieurs des difficultés suivantes ?

Nous n'avons pas de connaissances juridiques en matière de RGPD
Nous ne savons pas par quoi commencer
Nous n'avons pas beaucoup de temps à consacrer à ce projet
Nous devons mettre à jour le travail déjà fait et nous ne savons pas comment nous y prendre
Nous souhaitons faire participer les différentes directions métier au projet
Nous souhaitons pouvoir travailler facilement en équipe

← Précédent

Votre diagnostic est prêt

Laissez-nous vos coordonnées afin d'obtenir les résultats de votre diagnostic RGPD par mail

Les champs marqués d'un astérisque doivent obligatoirement être complétés pour que Mission RGPD vous envoi le résultat de votre diagnostic. Mission RGPD utilise ces informations afin de communiquer sur ses services et son actualité. Pour en savoir plus sur la gestion de vos données personnelles, consultez la Politique de confidentialité du site Mission RGPD

← Précédent

Envoyer >

Mon diagnostic RGPD Mission RGPD

Votre organisation

Votre profil

Le RGPD & Vous

RGPD & Site internet

RGPD & Droits des personnes

RGPD & Sécurité

RGPD & Sous-traitance

Documents indispensables

Mission RGPD & Vous