Javascript is required
logo-dastralogo-dastra

Modèle d'auditQuestionnaire de maturité CNIL

CNIL
Autoévaluation de maturité en gestion de la protection des données par la CNIL

1. Procédures

1.1. Des procédures de protection des données sont-elles définies et mises en œuvre ?

Actions

Caractéristiques

Responsables généralement impliqués :

Définir et mettre en œuvre des procédures de protection des données

Définition, tenue à jour et communication des politiques et procédures générales relatives à la gestion des données personnelles et à la protection de la vie privée (charte d’utilisation du système d’information, clauses contractuelles types, etc.), vérification de leur application et déclenchement des éventuelles mesures prévues en cas de manquement

Définition par la direction juridique, direction des risques ou direction des systèmes d’information,

Vérification via les processus de contrôle interne

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

2. Gouvernance

2.1. Comment est pilotée la gouvernance de la protection des données ?

Actions

Caractéristiques

Responsables généralement impliqués :

Piloter la gouvernance de la protection des données

Définition, mise en place, mise en œuvre, communication et amélioration de la stratégie de protection des données au sein de l'organisme (gouvernance, rôles et responsabilités, y compris ceux du délégué à la protection des données – DPO).

Direction générale de l’entreprise et, selon les organismes, pilotage et mise en œuvre par la direction juridique, la direction des risques ou la direction des systèmes d’information.

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

3. Registre des traitements

3.1. Quelles mesures sont mises en place pour recenser les traitements et mettre à jour la liste des traitements ?

Actions

Caractéristiques

Responsables généralement impliqués :

Recenser et tenir à jour la liste des traitements

Identification et tenue à jour de l'inventaire des traitements de données personnelles, des données et des flux de données qui leurs sont associés.

Délégué à la protection des données (DPO)

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

4. Conformité des traitements

4.1. Comment est assurée la conformité juridique des traitements ?

Actions

Caractéristiques

Responsables généralement impliqués

Assurer la conformité juridique des traitements.

Évaluation des traitements de données personnelles existants ou en projet au regard des obligations légales et réglementaires en matière de protection des données (proportionnalité et nécessité, ainsi que droits des personnes), détermination de mesures pour améliorer la conformité (y compris des clauses contractuelles types), conseil au responsable de traitement et vérification de la mise en œuvre des mesures prévues.

Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet.

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

5. Formation / Sensibilisation

5.1. Qui est formé et sensibilisé et comment s'effectue cette formation/sensibilisation ?

Actions

Caractéristiques

Responsables généralement impliqués

Former et sensibiliser.

Diffusion de la connaissance et création ou renforcement des compétences internes concernant la protection des données. Note : les sessions de formation/sensibilisation doivent permettre de garantir la bonne connaissance de la politique de protection des données de la part du personnel.

DPO, direction des ressources humaines, direction de la communication.

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

6. Exercice des droits

6.1. Comment est géré le traitement des demandes des usagers internes et externes ?

Actions

Caractéristiques

Responsables généralement impliqués

Traiter les demandes des usagers internes et externes.

Définition, mise en place, mise en œuvre et communication des moyens permettant la gestion des demandes d'exercice des droits des personnes concernées (ex : demandes de droit d’accès), des plaintes et autres réclamations internes et externes concernant la protection des données.

DPO

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

7. Risques de sécurité

7.1. Comment sont gérés les risques de sécurité ?

Actions

Caractéristiques

Responsables généralement impliqués

Gérer les risques de sécurité.

Appréciation des risques de sécurité que les traitements de données personnelles sont susceptibles d'engendrer sur les personnes concernées, détermination de mesures contribuant à les traiter (y compris des clauses contractuelles types) et vérification de la mise en œuvre des mesures prévues.

Directions métiers concernées, direction juridique, direction des achats, DPO, responsable de la sécurité des systèmes d’information (RSSI), équipes projet.

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

8. Violations de données

8.1. Comment sont gérées les violations de données ?

Actions

Caractéristiques

Responsables généralement impliqués

Gérer les violations de données.

Identification, qualification, résolution des violations de données personnelles, notifications aux autorités de protection de données et communication aux personnes concernées, tenue d'un registre des violations.

DPO, directions métiers concernées, direction des risques, direction des systèmes d’information, direction de la communication, entités chargées de la gestion des incidents et de la gestion de crise.

-----------------------------------------

Les réponses suivantes décrivent les cinq niveaux de maturité de manière générique. Chaque niveau représente la manière dont un organisme conçoit, met en œuvre, contrôle, maintient et assure le suivi d’une activité, quel que soit cette activité. L’atteinte d’un niveau suppose d’avoir déjà atteint le niveau précédent.

Créé le:17/05/2024

Mis à jour le :29/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Jérôme de Mercey
Jérôme de Mercey

Nombre d'utilisations :4


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.