Javascript is required
logo-dastralogo-dastra

Modèle d'auditAnalyse RGPD du traitement

RGPD
Ce questionnaire permet d'évaluer la conformité au RGPD de votre traitement.

1. Responsabilités

1.1. Les responsabilités du traitement sont-elles bien déterminées ?
1.2. Indiquer la raison de la non-conformité du traitement
1.3. Listez les parties prenantes responsables de la mise en œuvre du traitement

2. Finalités

2.1. Est-ce que toutes les finalités du traitement sont bien légitimes ?
2.2. Indiquer la raison de la non-conformité
2.3. Chaque finalité est-elle précisément déterminée ?
2.4. Indiquez la raison de la non-conformité
2.5. Chaque finalité est-elle explicite ?
2.6. Indiquez la raison de la non-conformité

3. Base légale

3.1. Une base légale est-elle associée à chaque finalité du traitement ?
3.2. Une base légale est-elle associée à au moins une finalité ?
3.3. Les bases légales des finalités sont-elles correctes ?
3.4. Les bases légales utilisées font parties des suivantes ?
3.5. Le consentement est-il libre ?

Le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

3.6. Le consentement est-il spécifique ?

Un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

3.7. Le consentement est-il éclairé ?

Pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

3.8. Le consentement est-il univoque ?

Le consentement doit être donné par la personne concernée par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

3.9. Les intérêts sont-ils légitimes ?

Les intérêts sont présumés légitimes pour les traitements de données

  • visant à garantir la sécurité du réseau et des informations,

  • mis en œuvre à des fins de prévention de la fraude,

  • nécessaires aux opérations de prospection commerciale auprès de clients d’une société,

  • portant sur des clients ou des employés au sein d’un groupe d’entreprises à des fins de gestion administrative interne.

Sinon, le caractère « légitime » de l’intérêt poursuivi par un organisme peut être présumé si les 3 conditions suivantes sont remplies :

  • l’intérêt est manifestement licite au regard du droit ; 

  • il est déterminé de façon suffisamment claire et précise ;

  • il est réel et présent pour l’organisme concerné, et non fictif.

3.10. La source de l'obligation légale est-elle connue ?

Vous pouvez identifier le texte juridique qui vous demande de réaliser le traitement.

3.11. La mission d'intérêt public est-elle connue ?

4. Minimisation des données

4.1. Les données sont-elles strictement nécessaires pour la réalisation du traitement ?
4.2. Si non, expliquez pourquoi

5. Sensibilité des données

5.1. Est-ce que toutes les données sensibles traitées par l'organisme sont identifiées ?
5.2. Si non, expliquez pourquoi
5.3. Est-ce que des données sensibles sont traitées dans le cadre du traitement ?

Ce sont des informations qui révèlent

  • la prétendue origine raciale ou ethnique,

  • les opinions politiques,

  • les convictions religieuses ou

  • philosophiques ou

  • l'appartenance syndicale,

  • ainsi que le traitement des données génétiques,

  • des données biométriques aux fins d'identifier une personne physique de manière unique,

  • des données concernant la santé ou

  • des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. 

5.4. Le fondement légal permettant le traitement des données sensibles est-il correct et justifié ?
5.5. Si non, expliquez pourquoi
5.6. La ou les finalités du traitement des données sensibles est / sont-elle(s) légitime(s), déterminée(s) et explicite(s) ?
5.7. Si non, expliquez pourquoi

6. Localisation des données

6.1. La localisation des données est-elle connue ?
6.2. Si non, expliquez pourquoi

7. Information des personnes concernées

7.1. Les personnes concernées par le traitement de leurs données personnelles sont-elles informées ?
7.2. L'information aux personnes concernées comporte les éléments suivants ?
7.3. Sinon, expliquez pourquoi

8. Conservation des données

8.1. Les durées de conservation des données sont-elles identifiées ?
8.2. Les durées de conservation sont-elles proportionnées au regard des objectifs (finalités) du traitement ?
8.3. Sinon, expliquez pourquoi

9. Exactitude des données

9.1. Des moyens sont-ils mis en place pour que les données traitées soient exactes et si nécessaire mises à jour ?

10. Exercice des droits des personnes

10.1. Les personnes concernées peuvent-elles exercer facilement leurs droits sur leurs données personnelles ?

11. Destinataires des données

11.1. Les destinataires des données personnelles sont-ils identifiés ?
11.2. Des sous-traitants sont-ils destinataires des données personnelles ?
11.3. Est-ce qu'un contrat reprenant les exigences de l'article 28 du RGPD encadre la relation avec les sous-traitants ?

12. Transferts hors UE

12.1. Les transferts de données personnelles hors de l'Union Européenne sont-ils identifiés ?
12.2. Pour chaque transfert, un mécanisme de transfert est-il prévu et est-il adéquat ?

13. Mesures de sécurité

13.1. Des mesures de sécurité sur les données personnelles sont-elles mises en place ?
13.2. Les mesures de sécurité sont-elles adéquates par rapport au risque de violation pour les personnes concernées ?
Créé le:11/11/2023

Mis à jour le :30/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Jérôme de Mercey
Jérôme de Mercey

Nombre d'utilisations :5


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.