Modèle d'auditBilan annuel des activités
DPO
Le bilan annuel permet au DPO de faire part des difficultés au responsable du traitement, d'obtenir des moyens, et de tracer ses actions au fil des années.
1. Introduction
1. Préambule
1.1. Rédiger un préambule, expliquant la finalité du bilan annuel
2. Présentation de l'organisme
2.1. Présentation de l'organisme
3. Présentation du Délégué à la Protection des Données (DPO)
3.1. Quelle est la date de désignation du DPO ?
3.2. Le responsable de traitement avait-il l'obligation de désigner un DPO ?
3.3. Quel est le statut du DPO ?
3.4. Quelle est le type de désignation du DPO ?
3.5. Détailler les compétences et formations du DPO
Rappeler s'il est professionnel, ses expériences, ses diplômes, etc.
3.6. Quels sont les moyens dont dispose le DPO pour exercer sa fonction ?
Cela concerne l'équipe dédiée, le budget, les relais (correspondants locaux) mis en place dans l’organisme, etc.
3.7. Détailler les relations entre le DPO et le responsable des traitements
Cela concerne le type d’échanges, la fréquence de ces échanges, les moyens mis en place afin de garantir l’indépendance et la liberté d’action du DPO, etc.
4. Procédures internes mises en place
4.1. Décrire les procédures internes mises en place
5. Faits marquants de l'année
5.1. Indiquer les faits marquants de l'année
Indiquer le ou les points phares de l’année qui ne relèvent pas des paragraphes particuliers, par exemple :
Nombre de dossiers soumis à autorisation ;
Adhésion au Safe Harbor Agreement pour les flux de données vers les USA ;
Mise en place d’un dossier particulier tel que la biométrie ;
Nouvelle organisation interne ;
Sanctions ayant frappé un concurrent…
2. Liste des traitements de données à caractère personnel
1. Registre
1.1. L'organisme est-il concerné par le registre ?
1.2. Décrire le travail préliminaire d'établissement du registre
1.3. Combien de traitements comprend ce registre ?
1.4. Quelle est la quantité de traitements créés, modifiés ou supprimés durant la période couverte par le bilan ?
1.5. Les dossiers ont-ils tous été régularisés auprès de la CNIL ?
2. Évolution des traitements
2.1. Décrire les nouveaux traitements de l'organisme
Même de simples bases Excel si les données entrées et la finalité le justifient, ou s’ils relèvent de dispenses de la CNIL ou d’une norme simplifiée.
2.2. Décrire les traitements modifiés ou supprimés
2.3. Décrire les traitements soumis à une autorisation
3. Objectifs pour l'année à venir
3.1. Décrire les objectifs pour l'année à venir
3. Diffusion de la « culture informatique et libertés »
1. Veille juridique
1.1. Décrire la veille juridique effectuée
2. Formations et sensibilisations
2.1. Quel est le nombre de formations faites en interne et en externe ?
2.2. Des formations ou des sensibilisations sont-elles à venir ?
2.3. Y'a-t-il eu un retour d’informations importantes pour la vie de la société du fait de la connaissance nouvellement acquise ? Si oui, détailler ces informations
2.4. Quelles sont les populations visées par la formation ? (DRH, DSI, Juristes, opérationnels, stagiaires dans le cas de formations extérieures)
3. Outils de diffusion
3.1. Décrire les outils de diffusion
4. Activité de conseil
1. Intervention(s) du DPO
1.1. Retracer les consultations effectuées par le DPO sur les formalités à accomplir durant l'année
1.2. La direction a-t-elle suivi les recommandations du DPO ?
Cette question nécessite de détailler l'indication du taux de suivi des recommandations, ainsi que des précisions pour chaque recommandation.
1.3. Des médiations ont-elles été nécessaires durant l'année ? Si oui, à quel sujet ?
2. Activités nécessitant d'une expertise
2.1. De quelle manière sont traités les fichiers sensibles ?
Concernant les données à caractère hautement personnel ou sensibles.
2.2. Quels sont les critères et modalités pour la reprise de données sensibles au sein de l'organisation ?
2.3. Existe-t-il des flux transfrontaliers ?
2.4. Existe-t-il des interconnexions de fichiers ?
2.5. Existe-t-il une prise de décision automatisée, y compris un profilage ?
5. Réponses aux demandes internes et externes
1. Droit d'accès
1.1. Y'a-t-il eu des demandes d'accès aux données durant l'année ?
1.2. Quel est le nombre de demandes de droit d’accès aux données personnelles ?
1.3. Les demandes de droit d'accès ont-elles été traitées dans le délai légal ?
1.4. Des demandes sont-elles en cours de traitement ?
1.5. Des frais (raisonnables) ont-ils été demandés à la personne concernée pour une demande de copie supplémentaire des données ?
1.6. Existe-t-il un accès à distance à un système (sécurisé) permettant à la personne concernée d'accéder directement à ses données ?
1.7. Des refus ont-ils été prononcés pour une des dérogations prévues par la Loi Informatique et Libertés ? (articles 49 et 52 LIL)
2. Droit de modification / suppression des données personnelles
2.1. Y'a-t-il eu des demandes de rectification des données durant l'année ?
2.2. Y'a-t-il eu des demandes d'effacement des données durant l'année ?
2.3. Quel est le nombre de demandes de rectification des données ?
2.4. Quel est le nombre de demandes d'effacement des données ?
2.5. Les demandes de rectification ont-elles été traitées dans le délai légal ?
2.6. Les demandes d'effacement ont-elles été traitées dans le délai légal ?
2.7. Des demandes de rectification sont-elles en cours de traitement ?
2.8. Des demandes d'effacement sont-elles en cours de traitement ?
2.9. La/les rectification(s) ont-elles notifiées aux destinataires à qui les données ont été communiquées ?
2.10. Des demandes d'effacement ont-elles été refusées ? Si oui, pour quelle(s) raison(s) ?
3. Droit à la limitation du traitement
3.1. Y'a-t-il eu des demandes de limitation du traitement durant l'année ?
3.2. Quel est le nombre de demandes de droit de limitation du traitement ?
3.3. Pour quelle(s) raison(s) l'organisme a limité le traitement des données ? (RGPD, art. 18, §1)
3.4. Les demandes de droit à la limitation du traitement ont-elles été traitées dans le délai légal ?
3.5. Des demandes sont-elles en cours de traitement ?
3.6. Des demandes de limitation ont-elles été refusées ? Si oui, pour quelle(s) raison(s) ?
3.7. Les destinataires des données ont-ils été notifiés de la demande de limitation du traitement ?
3.8. Le traitement en cause a-t-il été repris de façon « normale » ?
4. Droit à la portabilité
4.1. Y'a-t-il eu des demandes de droit à la portabilité durant l'année ?
4.2. Quel est le nombre de demandes de droit à la portabilité ?
4.3. Les demandes de droit à la portabilité ont-elles été traitées dans le délai légal ?
4.4. Des demandes sont-elles en cours de traitement ?
4.5. Des demandes de droit à la portabilité ont-elles été refusées ? Si oui, pour quelle(s) raison(s) ?
5. Droit d'opposition
5.1. Y'a-t-il eu des demandes de droit d'opposition durant l'année ?
5.2. Quel est le nombre de demandes de droit d'opposition ?
5.3. Les demandes de droit d'opposition ont-elles été traitées dans le délai légal ?
5.4. Des demandes sont-elles en cours de traitement ?
5.5. Des demandes de droit d'opposition ont-elles été refusées ? Si oui, pour quelle(s) raison(s) ?
6. Sort des données après le décès
6.1. Existe-t-il des directives (générales ou particulières) émises par la personne concernée ?
6.2. Les héritiers ont-ils exercé les droits garantis par la loi après le décès de la personne concernée ?
6.3. L'organisme a-t-il porté à connaissance des héritiers les informations des données de la personne concernée ?
6.4. Existe-t-il un mécanisme permettant aux personnes concernées de donner des directives sur le sort de leurs données après le décès ?
7. Plaintes et réclamations
7.1. Y'a-t-il eu des plaintes et réclamations durant l'année ?
6. Audit et contrôle
1. Analyse d'impact relative à la protection des données (AIPD)
1.1. Une AIPD a-t-elle été établie ?
1.2. Quels sont les types d'opérations de traitement mis en place par l'organisme, nécessitant une AIPD ?
Selon la liste non exhaustive adoptée par la délibération de la CNIL du 11 octobre 2018 (Délib. CNIL n°2018-327, 11 oct. 2018)
1.3. Des traitements mis en oeuvre avant l'entrée en vigueur du RGPD ont-ils fait l'objet d'une AIPD ?
1.4. Dans le cas où une AIPD a été établie, certains points sont-ils à revoir ou à clarifier ?
1.5. La CNIL a-t-elle été consultée pour l'AIPD ?
1.6. L'analyse d'impact a-t-elle été publiée ?
2. Contrôle
2.1. Des mesures de sécurité ont-elles été prises pour assurer l’intégrité et la disponibilité des données ? Si oui, lesquelles ?
2.2. Existe-t-il des preuves de mise en oeuvre de pratiques de développement sécurisé ?
2.3. L'organisme a-t-il anonymisé les données ?
2.4. Y'a-t-il eu une ou plusieurs violations de données durant l'année ?
2.5. En cas de violation(s) de données, les personnes concernées ont-elles été informées dans le délai légal ?
3. Plan d'actions pour l'année à venir
3.1. Un plan d'actions est-il prévu pour l'année à venir ? Détailler.
7. Relations externes
1. CNIL
1.1. Des contrôles de la CNIL ont-ils été effectués ?
1.2. La CNIL a-t-elle été saisie ? (personnes concernées, DPO...)
1.3. La CNIL a-t-elle été sollicitée pour des demandes de conseil ?
1.4. La CNIL a-t-elle été consultée au titre de l'article 36 du RGPD ?
1.5. La CNIL a-t-elle été notifiée d'une ou plusieurs violations de données dans le délai légal ?
1.6. Les ateliers proposés par la CNIL ont-ils été suivis par l'organisme / le DPO ?
2. Délégation du traitement
2.1. L'organisme fait-il appel à un ou des sous-traitants ?
2.2. Le sous-traitant présente-t-il des garanties suffisantes ?
2.3. L'organisme veille-t-il à ce que le sous-traitant respecte le RGPD ?
2.4. Le contrat liant l'organisme et le sous-traitant est-il toujours valable ?
3. Autres relations
3.1. Existe-t-il d'autres relations externes ? Détailler.
8. Estimation de la charge de travail
1. Temps passé (plan quantitatif)
1.1. Détailler le temps passé au travail de DPO.
2. Charge sur le plan qualitatif
2.1. Détailler la charge de travail sur le plan qualitatif.
3. Budget et moyens
3.1. Détailler les besoins en matière de budget et les moyens nécessaires à la bonne réalisation du travail de DPO.
Créé le:2023-02-01T22:10:40.9274247
Mis à jour le :2023-05-04T12:07:50.1136298
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :103