Javascript is required
logo-dastralogo-dastra

Modèle d'auditTest de connaissance en matière de protection des données personnelles

RGPD

1. RGPD, être en conformité

1.1. 1.1. Parmi ces organismes, lesquels sont concernés par le RGPD ?
1.2. 1.2. La certification est obligatoire pour les organismes soumis au RGPD.
1.3. 1.3. Concernant les opérations de traitement, les sous-traitants doivent s’en tenir aux instructions données par le responsable de traitement sous forme documentée.
1.4. 1.4. Julie est interrogée au hasard dans la rue par un organisme de sondage. En tout 3 questions lui sont posées : Regardez-vous la télévision ? La regardez-vous tous les jours ? Combien de temps par jour ? L’organisme de sondage ne collecte pas d’informations supplémentaires. S’agit-il d’un sondage anonyme ?
1.5. 1.5. Les organismes saisis de demandes de personnes exerçant leurs droits doivent répondre à celles-ci dans le délai d’un mois.
1.6. 1.6. Les entreprises ayant adhéré à des codes de conduite doivent obligatoirement les appliquer.
1.7. 1.7. Une personne physique qui utilise une application de stockage et d’échange de documents pour partager ses photos de famille, est-elle soumise aux obligations du RGPD ?
1.8. 1.8. Un organisme peut être à la fois responsable de traitement et sous-traitant.
1.9. 1.9. Parmi ces organismes, lesquels sont soumis au RGPD ?
1.10. 1.10. Les personnes concernées doivent nécessairement être informées :
1.11. 1.11. Le fichier de pointage des horaires des agents d’une collectivité est-il un traitement de données soumis au RGPD ?
1.12. 1.12. Parmi les données suivantes se rapportant à une personne physique, quelles sont celles qui, prises isolément, sont qualifiables de « données à caractère personnel » ?
1.13. 1.13. Dans le cadre de transferts de données vers un pays « non adéquat », l’organisme n’a pas besoin d’autorisation si :
1.14. 1.14. Vous complétez une fiche de renseignement concernant vos collaborateurs. Chaque fiche est classée par ordre alphabétique dans un classeur dédié. Le RGPD s’applique-t-il ?
1.15. 1.15. Le responsable de traitement d’un site de vente en ligne est :

2. Identifier les failles de sécurité

2.1. 2.1. Choisissez la proposition décrivant le mieux une cyberattaque :
2.2. 2.2. L’obligation de veiller à la sécurité des données personnelles impose le chiffrement systématique de celles-ci.
2.3. 2.3. Le principe d’accountability est défini par le fait de devoir :
2.4. 2.4. Identifiez les situations pouvant attenter à la confidentialité des données.
2.5. 2.5. Les petits organismes sont moins ciblés par les cyberattaques.
2.6. 2.6. Comment se protéger des cyberattaques ?
2.7. 2.7. Le respect de l’obligation de sécurité s’apprécie :
2.8. 2.8. Qu’est-ce que la perte d’intégrité sur les données ?
2.9. 2.9. La mise en œuvre d’une Politique de sécurité des systèmes d’informations :
2.10. 2.10. En cas de « sous-traitance ultérieure », le sous-traitant peut être sanctionné pour une faute commise par le sous-traitant qu’il a lui-même choisi.
2.11. 2.11. Quels sont les objectifs des pirates lors de cyberattaques ? (plusieurs réponses sont possibles)
2.12. 2.12. Les notions de « privacy by default » et « privacy by design » doivent être appliquées par :
2.13. 2.13. Il y a violation de données personnelles lorsque les données ont fait l’objet d’une perte de :
2.14. 2.14. Concernant la Politique de sécurité des systèmes d’information (PSSI) :
2.15. 2.15. Les données personnelles qui ne sont plus d’utilisation courante par les services opérationnels concernés doivent être nécessairement détruites ou anonymisées si elles ne présentent pas un intérêt historique, statistique ou scientifique.

3. Rôle du DPO

3.1. 3.1. La situation suivante représente-t-elle un détournement de finalité ? L’utilisation par une commune, à des fins de mise à jour de ses fichiers d’usagers, des données collectées pour le compte de l’État dans le cadre du recensement de la population.
3.2. 3.2. Le responsable de la sécurité des systèmes d’information (RSSI) d’une société peut-il être désigné DPO de cette société ?
3.3. 3.3. Le responsable de traitement peut donner des instructions au DPO sur la manière d’analyser les résultats d’un audit
3.4. 3.4. Au regard des opérations de contrôle interne, cochez la proposition exacte :
3.5. 3.5. Les missions du DPO sont :
3.6. 3.6. Le registre des activités de traitement doit être tenu par :
3.7. 3.7. Concernant les relations avec l’autorité de contrôle, cochez la proposition exacte :
3.8. 3.8. Le registre des traitements n’est obligatoire que pour les entreprises transférant des données hors de l’Union Européenne :
3.9. 3.9. Un organisme public doit obligatoirement désigner un DPO.

4. DPO, gérer les données

4.1. 4.1. L’absence de notification d’une violation de données personnelles est susceptible de conduire le responsable de traitement :
4.2. 4.2. Le responsable de traitement peut refuser de donner suite à l’exercice d’un droit si :
4.3. 4.3. Documenter les activités de traitement consiste à réunir et à tenir à jour les documents suivants :
4.4. 4.4. Les personnes victimes d’un préjudice peuvent être représentées par une association pour exercer une action en leur nom.
4.5. 4.5. Lorsqu’une personne exerce un de ses droits (droit d’accès par exemple) auprès d’un coresponsable de traitement qui n’est pas en charge de traiter ce genre de demande, celui-ci doit :
4.6. 4.6. Il n’est pas nécessaire de réaliser une analyse d’impact lorsque les traitements ne représentent pas un risque élevé pour les droits et libertés des personnes.
4.7. 4.7. L’analyse des risques du PIA est limitée aux risques techniques :
4.8. 4.8. Le traitement suivant nécessite-t-il de réaliser une analyse d’impact ? « Vidéosurveillance d’un entrepôt stockant des biens de valeur au sein duquel travaillent des manutentionnaires »
4.9. 4.9. Une analyse d’impact sur la protection des données (PIA) doit :
4.10. 4.10. L’audit de conformité à la protection des données est limité aux traitements réalisés en interne par l’organisme :
4.11. 4.11. Un audit de conformité à la protection des données doit absolument être réalisé par des auditeurs externes :
4.12. 4.12. Lorsqu’une personne s’oppose au traitement de ses données auprès d’un organisme, celui-ci :
4.13. 4.13. Le responsable de traitement d’une société doit-il obligatoirement communiquer le registre de sa société si une personne le lui demande ?
4.14. 4.14. Le PIA doit être revu régulièrement :
4.15. 4.15. L’actualisation des données contenues dans les fichiers vient satisfaire le principe de minimisation des données.

5. Gérer les contrôles par l’autorité

5.1. 5.1. En cas de violation de données représentant un risque élevé pour la vie privée des personnes, le responsable de traitement doit :
5.2. 5.2. La mise en demeure et la sanction sont des procédures confidentielles qui ne peuvent pas être portées à la connaissance du public.
5.3. 5.3. L'autorité de contrôle n’a accès au registre des traitements de l’organisme que dans le cadre d’un contrôle.
5.4. 5.4. Les sanctions liées au non-respect des principes fondamentaux du RGPD (finalité, minimisation, durée de conservation…) ou des droits des personnes peuvent s’élever jusqu’à :
5.5. 5.5. Quel est le délai maximal pour notifier une violation de données à l’autorité de contrôle ?
5.6. 5.6. L’autorité de contrôle peut prononcer une sanction seulement si l’organisme concerné n’a pas respecté une mise en demeure de se conformer au RGPD.
5.7. 5.7. La loi autorise les autorité publiques à accéder aux données personnelles détenues par les organismes sans devoir fournir de justificatif.
5.8. 5.8. Désigner une autorité chef de file sert à gérer plus facilement les échanges avec les autorités de contrôle en cas de :
5.9. 5.9. En cas de mise en demeure, l’organisme doit :
5.10. 5.10. Toute personne considérant qu’un traitement de données la concernant ne respecte pas le RGPD peut effectuer une réclamation auprès de l’autorité de contrôle de l’État membre où la violation du RGPD aurait été commise.
Créé le:01/01/2023

Mis à jour le :30/07/2024

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Dastro Naute
Dastro Naute

Nombre d'utilisations :2


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.