Audit interne de contrôle de conformité au GDPR/RGPD

Objectifs & compétences

Être capable de décrire la démarche à entreprendre dans le cadre d'un contrôle de conformité organisationnel au GDPR
Comprendre comment dérouler un audit de contrôle organisationnel au GDPR
Se préparer à un contrôle de la CNIL

Public visé

Auditeurs, DPO, Dirigeants, Responsables juridiques

Pré-requis

Connaissance du nouveau règlement (GDPR)

Programme

RAPPEL : LES NOUVEAUTÉS APPORTÉES PAR LE GDPR
Les nouvelles obligations pour le responsable des traitements et pour les sous-traitants
Les nouveaux droits pour les personnes concernées

CONTRÔLE DE CONFORMITÉ AU GDPR : ORGANISATION À PRÉVOIR
Rôle, missions et positionnement du DPO
Contrôle interne vs contrôle externe

LES POINTS DE CONTRÔLE DE CONFORMITÉ
Rôles et responsabilités : les instances de décision, la séparation des tâches, les lettres de mission, traçabilité des décisions, ....
Politique de protection de la vie privée et des données à caractère personnel : structure documentaire, engagements du responsable de traitement et du sous-traitant, diffusion et communication de la politique, les chartes internes, sensibilisation, ....
Procédures internes : formalisation et communication des procédures, ....
Le respect des droits des personnes : consentement, mentions légales d'information, transparence lors de traitements de données à caractère personnel, délai de réponse aux demandes, traçabilité des demandes, ...
Le respect des obligations du responsable de traitement : la tenue du registre, implication dans la politique de sécurité des données et du SI, les contrats avec les sous-traitants, la gestion des risques sur la vie privée (AIPD), la gestion des violations de donnée à caractère personnel, les relations avec l'autorité de contrôle, ...
Le contrôle de conformité des traitements : respect des principes de licéité, de durée de conservation des données, gestion du consentement, ...

CAS PRATIQUE
Présentation de la Checklist et des points de contrôle :
Chapitre II : Principes : - article 6 (Principes relatifs au traitement des données à caractère personnel), - article 7 (Conditions applicables au consentement), - article 9 (Traitement portant sur des catégories particulières de données à caractère personnel), - article 10 (Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions)
Chapitre III : Droits des personnes - article 12 (Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée), - article 13 (Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée), article 15 (Droit d'accès de la personne concernée), - article 16 (Droit de rectification), - article 17 (Droit à l'effacement ("droit à l'oubli")), - article 18 (Droit à la limitation du traitement), - article 19 (Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement), - article 20 (Droit à la portabilité des données), - article 21 (Droit d'opposition), - article 22 (Décision individuelle automatisée, y compris le profilage)
Chapitre IV : Obligations du responsable de traitement et sous-traitants : - article 24 (Responsabilité du responsable du traitement), - article 25 (Protection des données dès la conception et protection des données par défaut), - article 28 (Sous-traitant), - article 30 (Registre des activités de traitement), - article 32 (Sécurité du traitement), - article 33 (Notification à l'autorité de contrôle d'une violation de données à caractère personnel), - article 34 (Communication à la personne concernée d'une violation de données à caractère personnel), - article 35 (Analyse d'impact relative à la protection des données), - article 36 (Consultation préalable)

SYNTHÈSE ET CONCLUSION

Modalités

Méthodes