Javascript is required
logo-dastralogo-dastra

Modèle d'auditPIA (CNIL) - Analyse d'impact sur la vie privée

CNILRGPDPIA
Modèle permettant d'analyser les risques sur la vie privée suivant la méthode de la CNIL. Il est possible d'importer les PIA réalisés avec l'outil de la CNIL sur ce modèle. Ce modèle reprend le contenu du traitement. Version 1.0

1. Contexte

1. Généralités

1.1. Quel est le traitement qui fait l'objet de l'étude ?

Présentez de manière synthétique : son nom, sa ou ses finalités, ses enjeux (apports attendus), son contexte d'utilisation

1.2. Quelles sont les responsabilités liées au traitement ?

Décrivez les responsabilités des parties prenantes : le responsable de traitement, les sous-traitants et les responsables conjoints le cas échéant

1.3. Quels sont les référentiels applicables ?

Indiquez ici quels sont les référentiels applicables au traitement. Les référentiels constituent des cadres normatifs et permettent d'aider à la réalisation de l'analyse.

2. Description

2.1. Quelles sont les données traitées ?

Listez les données collectées et traitées en indiquant les durées de conservation, les destinataires et les personnes pouvant y accéder.

2.2. Comment le cycle de vie des données se déroule-t-il (description fonctionnelle) ?

Décrivez ici le cycle de vie de la donnée.

Vous pouvez inclure un schéma des flux en pièce jointe à votre réponse.

2.3. Quels sont les supports des données ?

Détaillez ici le support des données. Par exemple, l'application ou le logiciel utilisé pour traiter les données.

2. Principes fondamentaux

1. Proportionnalité et nécessité des données

1.1. Les finalités du traitement sont-elles déterminées, explicites et légitimes ?

Expliquez en quoi les finalités du traitement sont déterminées, explicites et légitimes.

1.2. Quel(s) est(sont) les fondement(s) qui rend(ent) votre traitement licite ?

Précisez la base légale associée à votre traitement. Par exemple, le consentement, l'obligation légale ou les intérêts légitimes.

1.3. Les données collectées sont-elles adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ?

Expliquez en quoi chaque donnée est nécessaire pour accomplir les finalités du traitement.

1.4. Les données sont-elles exactes et tenues à jour ?

Décrivez les mesures mises en oeuvre pour assurer la qualité des données.

1.5. Quelles sont les durées de conservation des données ?

Expliquez en quoi la durée de conservation prévue pour chaque donnée est nécessaire à l'accomplissement des finalités du traitement.

1.6. Comment évaluez vous les mesures mises en oeuvre ?

2. Mesures protectrices des droits

2.1. Comment les personnes concernées sont-elles informées à propos du traitement ? (transparence)

Indiquez ici les modalités d'information des personnes (charte des données, formulaires...) et le contenu de l'information.

2.2. Si applicable, comment le consentement des personnes concernées est-il obtenu ?

Indiquez ici les modalités de recueil du consentement.

2.3. Comment les personnes concernées peuvent-elles exercer leurs droit d'accès et droit à la portabilité ?

Indiquez ici les modalités d'exercice de ces droits.

2.4. Comment les personnes concernées peuvent-elles exercer leurs droit de rectification et droit à l'effacement (droit à l'oubli) ?

Indiquez ici les modalités d'exercice de ces droits.

2.5. Comment les personnes concernées peuvent-elles exercer leurs droit de limitation et droit d'opposition ?

Indiquez ici les modalités d'exercice de ces droits.

2.6. Les obligations des sous-traitants sont-elles clairement définies et contractualisées ?

Un contrat de sous-traitance doit être conclu avec chacun des sous-traitants, précisant l’ensemble des éléments prévus à l’art. 28 du RGPD.

2.7. En cas de transfert de données en dehors de l'Union européenne, les données sont-elles protégées de manière équivalente ?

Indiquez le pays de transfert et l'outil utilisé.

2.8. Comment évaluez vous les mesures mises en oeuvre ?

3. Risques liés à la sécurité des données

1. Mesures de sécurité mises en oeuvre

1.1. Quelles sont les mesures spécifiquement mises en oeuvre sur le traitement ?

2. Accès illégitime à des données

2.1. Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ?
2.2. Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ?
2.3. Quelles sources de risques pourraient-elles en être à l'origine ?
2.4. Quelles sont les mesures existantes qui contribuent à traiter le risque ?
2.5. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures initiales ?
2.6. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures initiales ?

3. Modification non désirée de données

3.1. Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ?
3.2. Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ?
3.3. Quelles sources de risques pourraient-elles en être à l'origine ?
3.4. Quelles sont les mesures existantes qui contribuent à traiter le risque ?
3.5. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures initiales ?
3.6. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures initiales ?

4. Disparition des données

4.1. Quels pourraient être les principaux impacts sur les personnes concernées si le risque se produisait ?
4.2. Quelles sont les principales menaces qui pourraient permettre la réalisation du risque ?
4.3. Quelles sources de risques pourraient-elles en être à l'origine ?
4.4. Quelles sont les mesures existantes qui contribuent à traiter le risque ?
4.5. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures initiales ?
4.6. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures initiales ?

4. Mesures envisagées pour réduire les risques

1. Mesures de réduction du risque d'accès illégitime

1.1. Quelles sont les mesures envisagées pour faire face au risque d'accès illégitime aux données ?
1.2. Donnez des précisions sur le plan d'action que vous allez mettre en place
1.3. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures envisagées ?
1.4. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures envisagées ?

2. Mesures de réduction du risque de modification non désirée de données

2.1. Quelles sont les mesures envisagées pour faire face au risque de modification non désirée des données ?
2.2. Donnez des précisions sur le plan d'action que vous allez mettre en place
2.3. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures envisagées ?
2.4. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures envisagées ?

3. Mesures de réduction du risque de disparition des données

3.1. Quelles sont les mesures envisagées pour faire face au risque de disparition de données ?
3.2. Donnez des précisions sur le plan d'action que vous allez mettre en place
3.3. Comment estimez-vous la gravité du risque, notamment en fonction des impacts potentiels et des mesures envisagées ?
3.4. Comment estimez-vous la vraisemblance du risque, notamment au regard des menaces, des sources de risques et des mesures envisagées ?

5. Avis et validation

1. Avis des personnes concernées

1.1. Avez-vous reçu l'avis des personnes concernées ou de leurs représentants ?
1.2. Indiquez l'avis ici

2. Avis du DPO

2.1. Avez vous obtenu l’avis du DPO ?
2.2. Indiquez l'avis ici

3. Validation

3.1. La validation par le responsable du traitement est formalisée.
3.2. Joindre l'analyse signée

L'analyse doit être signée par le responsable du traitement. En l'espèce il s'agira du responsable légal de l'organisme ou de son représentant.

Créé le:18/05/2024

Mis à jour le :29/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Jérôme de Mercey
Jérôme de Mercey

Nombre d'utilisations :29


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.