Modèle d'auditTest de connaissance en matière de protection des données personnelles

RGPD

1. RGPD, être en conformité

1.1. 1.1. Parmi ces organismes, lesquels sont concernés par le RGPD ?

Une école

Une association

Un auto entrepreneur

Une administration publique

1.2. 1.2. La certification est obligatoire pour les organismes soumis au RGPD.

Vrai

Faux

1.3. 1.3. Concernant les opérations de traitement, les sous-traitants doivent s’en tenir aux instructions données par le responsable de traitement sous forme documentée.

Vrai

Faux

1.4. 1.4. Julie est interrogée au hasard dans la rue par un organisme de sondage. En tout 3 questions lui sont posées : Regardez-vous la télévision ? La regardez-vous tous les jours ? Combien de temps par jour ? L’organisme de sondage ne collecte pas d’informations supplémentaires. S’agit-il d’un sondage anonyme ?

Oui

Non

1.5. 1.5. Les organismes saisis de demandes de personnes exerçant leurs droits doivent répondre à celles-ci dans le délai d’un mois.

Vrai

Faux

1.6. 1.6. Les entreprises ayant adhéré à des codes de conduite doivent obligatoirement les appliquer.

Vrai

Faux

1.7. 1.7. Une personne physique qui utilise une application de stockage et d’échange de documents pour partager ses photos de famille, est-elle soumise aux obligations du RGPD ?

Oui

Non

1.8. 1.8. Un organisme peut être à la fois responsable de traitement et sous-traitant.

Oui

Non

1.9. 1.9. Parmi ces organismes, lesquels sont soumis au RGPD ?

Un organisme établi dans l'Union européenne qui traite des données de personnes qui se trouvent sur le territoire de l'UE

Un organisme établi dans l'UE qui traite des données personnelles

Un organisme établi en dehors de l'UE qui propose des biens ou services à des personnes qui se trouvent sur le territoire de l'UE

Un organisme établi en dehors de l'UE qui ne traite que des données personnelles de personnes situées en dehors de l'UE

1.10. 1.10. Les personnes concernées doivent nécessairement être informées :

Du fondement juridique du traitement

Du nom du représentant légal de l'organisme ou de la personne responsable du service chargé de traiter les données

De la durée de conservation des données

Du droit de saisir l'autorité de contrôle d'une réclamation

Des finalités du traitement de données

1.11. 1.11. Le fichier de pointage des horaires des agents d’une collectivité est-il un traitement de données soumis au RGPD ?

Oui

Non

1.12. 1.12. Parmi les données suivantes se rapportant à une personne physique, quelles sont celles qui, prises isolément, sont qualifiables de « données à caractère personnel » ?

Numéro d'immatriculation d'un véhicule

Photographie

Code postal

Numéro de téléphone

1.13. 1.13. Dans le cadre de transferts de données vers un pays « non adéquat », l’organisme n’a pas besoin d’autorisation si :

Il met en place des règles d'entreprise contraignante (BCR)

Il recourt aux clauses contractuelles types (CCT) adoptées par la Commission européenne

Il met en place des clauses contractuelles spécifiques

La personne a donné son consentement

1.14. 1.14. Vous complétez une fiche de renseignement concernant vos collaborateurs. Chaque fiche est classée par ordre alphabétique dans un classeur dédié. Le RGPD s’applique-t-il ?

Oui

Non

1.15. 1.15. Le responsable de traitement d’un site de vente en ligne est :

L'organisme à l'initiative de la création du site

L'organisme qui héberge le site

2. Identifier les failles de sécurité

2.1. 2.1. Choisissez la proposition décrivant le mieux une cyberattaque :

Intrusion dans les systèmes informatiques du gouvernement

Atteinte à des systèmes informatiques réalisée dans un but malveillant

Réception d'un email annonçant une attaque informatique à venir

2.2. 2.2. L’obligation de veiller à la sécurité des données personnelles impose le chiffrement systématique de celles-ci.

Vrai

Faux

2.3. 2.3. Le principe d’accountability est défini par le fait de devoir :

Déclarer à l'autorité de contrôle les traitements de données personnelles

Prendre en compte la sécurité des données dès la conception et par défaut

Documenter les mesures prises pour respecter le RGPD

Améliorer sans cesse les mesures mises en place pour assurer une conformité dynamique

2.4. 2.4. Identifiez les situations pouvant attenter à la confidentialité des données.

Vol de téléphone

Espionnage de conversation

Vol d'ordinateur

Erreur de destinataire d'email

Modification des données

2.5. 2.5. Les petits organismes sont moins ciblés par les cyberattaques.

Vrai

Faux

2.6. 2.6. Comment se protéger des cyberattaques ?

Détruire les messages non-sollicités sans répondre

Utiliser des mots de passe sécurisés

Ne pas exécuter d'instructions venant d'un inconnu

Partager son mot de passe avec ses collègues

Garder son matériel à jour

Ne pas diffuser d'informations personnelles et/ou confidentielles sur Internet

2.7. 2.7. Le respect de l’obligation de sécurité s’apprécie :

Une fois pour toute lors de l'inscription au registre des activités de traitement des mesures de sécurité mises en oeuvre

En continu; en fonction de l'évolution des technologies et des techniques de fraude

Une fois par an; sur la base du rapport annuel du DPO

2.8. 2.8. Qu’est-ce que la perte d’intégrité sur les données ?

La modification non-autorisée d'une donnée

L'indisponibilité d'une donnée

La perte de confidentialité d'une donnée

2.9. 2.9. La mise en œuvre d’une Politique de sécurité des systèmes d’informations :

Se fait sous la responsabilité d'un responsable en charge de son établissement; évolution et application

Permet de se dispenser de réaliser des analyses de risques et PIA (analyses d'impacts) des traitements de données à caractère personnels

Ne doit pas faire l'objet d'une information des collaborateurs afin de ne pas divulguer les moyens mis en oeuvre

2.10. 2.10. En cas de « sous-traitance ultérieure », le sous-traitant peut être sanctionné pour une faute commise par le sous-traitant qu’il a lui-même choisi.

Vrai

Faux

2.11. 2.11. Quels sont les objectifs des pirates lors de cyberattaques ? (plusieurs réponses sont possibles)

Espionnage

Vengeance

Déstabilisation

Revente de données

Revendication politique ou idéologique

Défi technique

2.12. 2.12. Les notions de « privacy by default » et « privacy by design » doivent être appliquées par :

Les sous-traitants

Les responsables de traitements

2.13. 2.13. Il y a violation de données personnelles lorsque les données ont fait l’objet d’une perte de :

disponibilité

intégrité

confidentialité

2.14. 2.14. Concernant la Politique de sécurité des systèmes d’information (PSSI) :

L'établissement d'une PSSI est obligatoire

La PSSI ne doit traiter que des risques de sécurité des matériels et logiciels informatiques constituant les systèmes d'information

Une PSSI permet de formaliser l'ensemble des risques potentiels en matière de sécurité et les moyens et mesures à mettre en oeuvre pour s'en prémunir

2.15. 2.15. Les données personnelles qui ne sont plus d’utilisation courante par les services opérationnels concernés doivent être nécessairement détruites ou anonymisées si elles ne présentent pas un intérêt historique, statistique ou scientifique.

Vrai

Faux

3. Rôle du DPO

3.1. 3.1. La situation suivante représente-t-elle un détournement de finalité ? L’utilisation par une commune, à des fins de mise à jour de ses fichiers d’usagers, des données collectées pour le compte de l’État dans le cadre du recensement de la population.

Oui

Non

3.2. 3.2. Le responsable de la sécurité des systèmes d’information (RSSI) d’une société peut-il être désigné DPO de cette société ?

Oui

Non

Cela dépend

3.3. 3.3. Le responsable de traitement peut donner des instructions au DPO sur la manière d’analyser les résultats d’un audit

Vrai

Faux

3.4. 3.4. Au regard des opérations de contrôle interne, cochez la proposition exacte :

Le DPO doit contrôler le respect du RGPD; ce qui implique qu'il peut contrôler la conformité d'un traitement avant qu'il ne soit mis en oeuvre ou a posteriori

Le DPO doit contrôler le respect du RGPD; ce qui implique qu'il n'intervient de facto qu'après la mise en oeuvre des traitements

Le DPO doit contrôler le respect du RGPD y compris en ce qui concerne les audits s'y rapportant, ce qui implique qu'il ne doit pas réaliser lui-même les audits

3.5. 3.5. Les missions du DPO sont :

Informer et conseiller

Contrôler

Sanctionner

Réaliser l'analyse d'impact

Coopérer avec l'autorité de contrôle

3.6. 3.6. Le registre des activités de traitement doit être tenu par :

Les sous-traitants

Les responsables de traitements

3.7. 3.7. Concernant les relations avec l’autorité de contrôle, cochez la proposition exacte :

Le DPO fait office de point de contact avec l'autorité de contrôle ce qui signifie que l'autorité de contrôle ne peut pas s'adresser directement au responsable de traitement

Le DPO fait office de point de contact avec l'autorité de contrôle ce qui signifie qu'il est la personne qui peut saisir l'autorité de contrôle pour toute consultation suite à une PIA ou autres sujets qui se posent au responsable de traitement

Toute personne de l'entreprise autre que le DPO peut saisir l'autorité de contrôle sur une question concernant un traitement dès lors qu'elle en informe le DPO

3.8. 3.8. Le registre des traitements n’est obligatoire que pour les entreprises transférant des données hors de l’Union Européenne :

Vrai

Faux

3.9. 3.9. Un organisme public doit obligatoirement désigner un DPO.

Vrai

Faux

Cela dépend

4. DPO, gérer les données

4.1. 4.1. L’absence de notification d’une violation de données personnelles est susceptible de conduire le responsable de traitement :

A faire l'objet d'une sanction administrative de la part de l'autorité de contrôle

A faire l'objet d'une sanction pénale

4.2. 4.2. Le responsable de traitement peut refuser de donner suite à l’exercice d’un droit si :

Il peut prouver que les données sont anonymes

La personne a déjà exercée ce droit plusieurs fois et sa demande est manifestement infondée ou excessive

Donner suite demande un effort disproportionné

4.3. 4.3. Documenter les activités de traitement consiste à réunir et à tenir à jour les documents suivants :

Mentions d'informations utilisées

Analyses d'impact réalisées

Registre des traitements mis en oeuvre

Contrat de sous-traitance en cours

Formulaires de recueil du consentement

Registre des violations

4.4. 4.4. Les personnes victimes d’un préjudice peuvent être représentées par une association pour exercer une action en leur nom.

Vrai

Faux

4.5. 4.5. Lorsqu’une personne exerce un de ses droits (droit d’accès par exemple) auprès d’un coresponsable de traitement qui n’est pas en charge de traiter ce genre de demande, celui-ci doit :

Donner à la personne les coordonnées du coresponsable en charge du traitement de ces demandes

Informer le coresponsable de traitement de la demande afin qu'une réponse soit apportée à la personne concernée

4.6. 4.6. Il n’est pas nécessaire de réaliser une analyse d’impact lorsque les traitements ne représentent pas un risque élevé pour les droits et libertés des personnes.

Vrai

Faux

4.7. 4.7. L’analyse des risques du PIA est limitée aux risques techniques :

Vrai

Faux

4.8. 4.8. Le traitement suivant nécessite-t-il de réaliser une analyse d’impact ? « Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires »

Oui

Non

4.9. 4.9. Une analyse d’impact sur la protection des données (PIA) doit :

être effectuée par l'autorité de contrôle

être réalisée en cas de risque pour les droits et libertés des personnes

être systématiquement soumise à l'autorité de contrôle

4.10. 4.10. L’audit de conformité à la protection des données est limité aux traitements réalisés en interne par l’organisme :

Vrai

Faux

4.11. 4.11. Un audit de conformité à la protection des données doit absolument être réalisé par des auditeurs externes :

Vrai

Faux

4.12. 4.12. Lorsqu’une personne s’oppose au traitement de ses données auprès d’un organisme, celui-ci :

Peut refuser de donner une suite favorable à la demande si une disposition légale rend obligatoire le traitement

Peut demander à la personne de justifier sa demande si le traitement en cause n'a pas pour objectif la prospection

Doit nécessairement apporter une suite favorable à la requête si le motif présenté est légitime

4.13. 4.13. Le responsable de traitement d’une société doit-il obligatoirement communiquer le registre de sa société si une personne le lui demande ?

Oui

Non

4.14. 4.14. Le PIA doit être revu régulièrement :

Vrai

Faux

4.15. 4.15. L’actualisation des données contenues dans les fichiers vient satisfaire le principe de minimisation des données.

Vrai

Faux

5. Gérer les contrôles par l’autorité

5.1. 5.1. En cas de violation de données représentant un risque élevé pour la vie privée des personnes, le responsable de traitement doit :

Informer l'autorité de contrôle

Informer directement les personnes concernées

5.2. 5.2. La mise en demeure et la sanction sont des procédures confidentielles qui ne peuvent pas être portées à la connaissance du public.

Vrai

Faux

5.3. 5.3. L'autorité de contrôle n’a accès au registre des traitements de l’organisme que dans le cadre d’un contrôle.

Vrai

Faux

5.4. 5.4. Les sanctions liées au non-respect des principes fondamentaux du RGPD (finalité, minimisation, durée de conservation…) ou des droits des personnes peuvent s’élever jusqu’à :

2% du chiffre d'affaires ou 10 millions d'euros

4% du chiffre d'affaires ou 20 millions d'euros

6% du chiffre d'affaires ou 40 millions d'euros

5.5. 5.5. Quel est le délai maximal pour notifier une violation de données à l’autorité de contrôle ?

24h

48h

72h

5.6. 5.6. L’autorité de contrôle peut prononcer une sanction seulement si l’organisme concerné n’a pas respecté une mise en demeure de se conformer au RGPD.

Vrai

Faux

5.7. 5.7. La loi autorise les autorité publiques à accéder aux données personnelles détenues par les organismes sans devoir fournir de justificatif.

Vrai

Faux

5.8. 5.8. Désigner une autorité chef de file sert à gérer plus facilement les échanges avec les autorités de contrôle en cas de :

co-responsabilité sur un traitement

sous-traitance ultérieure

traitements transfrontaliers

5.9. 5.9. En cas de mise en demeure, l’organisme doit :

Faire cesser le ou les manquements identifiés par l'autorité de contrôle dans un délai déterminé

Communiquer à l'autorité de contrôle les justifications des actions entreprises

5.10. 5.10. Toute personne considérant qu’un traitement de données la concernant ne respecte pas le RGPD peut effectuer une réclamation auprès de l’autorité de contrôle de l’État membre où la violation du RGPD aurait été commise.

Vrai

Faux

Créé le:2023-02-01T22:00:43.6409111

Mis à jour le :2023-12-28T14:11:36.6662591

Auteur :

Dastro Naute

Nombre d'utilisations :64

Utiliser ce modèle d'audit

Modèle d'auditTest de connaissance en matière de protection des données personnelles

1. RGPD, être en conformité

2. Identifier les failles de sécurité

3. Rôle du DPO

4. DPO, gérer les données

5. Gérer les contrôles par l’autorité

Accédez à tous nos modèles d'audit