Informations administratives1





télécharger 154.47 Kb.
titreInformations administratives1
page3/4
date de publication09.02.2017
taille154.47 Kb.
typeDocumentos
d.20-bal.com > loi > Documentos
1   2   3   4

Référentiel d’évaluation du contenu des audits de conformité de traitements


Exigences

Moyens mis en œuvre (500 caractères maximum)

Preuves (100 caractères maximum)

Exigences relatives aux bases de connaissances utilisées

La procédure d’audit s’appuie sur une base de connaissances en conformité avec les règlementations françaises et communautaires. Les recommandations d’interprétation au niveau français et européen peuvent également être prises en compte.

     

     

La procédure d’audit s’appuie sur une base de connaissances reflétant l’état de l’art en matière de sécurité des systèmes d’information, et dispose d’une méthode permettant de la mettre à jour régulièrement.

     

     

Exigences relatives à l’organisme audité

La procédure d’audit dispose d’une méthode permettant d’identifier la structure organisationnelle de l’organisme audité, les systèmes d’information, les flux d’information concernés et les normes juridiques spécifiques dans le champ de l’audit.

     

     

La procédure d’audit permet d’apprécier l’existence et l’efficacité de l’organisation et de la documentation pour gérer les traitements de données à caractère personnel dans le champ de l’audit.

     

     

La procédure d’audit permet d’apprécier, dans le cas où l’audité dispose d’un correspondant « Informatique et libertés » (CIL), les moyens qui lui sont accordés pour réaliser sa mission et le bilan de celle-ci.

     

     

Exigences relatives à l’identification des traitements

10La procédure d’audit décrit un processus méthodologique d’énumération de tous les traitements identifiés à l’intérieur du champ de l’audit.

     

     

La procédure d’audit contient un processus de détection des traitements éventuellement non identifiés par le responsable de traitement au sein du champ de l’audit.

     

     

La procédure d’audit permet d’identifier les recours éventuels à des prestataires extérieurs.

     

     

La procédure d’audit permet d’identifier et de catégoriser l’ensemble des données à caractère personnel utilisées dans les traitements inclus dans le champ de l’audit.

     

     

La procédure d’audit permet de caractériser la responsabilité de l’organisme audité au regard des traitements au sein du champ de l’audit, en déterminant notamment si l’organisme est responsable de traitement ou sous-traitant au sens de la loi Informatique et Libertés.

     

     

La procédure d’audit permet de déterminer la loi nationale de protection des données applicable à chaque traitement se trouvant dans le champ de l’audit.

     

     

La procédure d’audit contient une approche méthodologique pour réaliser un bilan des formalités préalables ou des éléments portés dans le registre du CIL le cas échéant, permettant de vérifier leur exhaustivité et leur exactitude.

     

     

Exigences relatives à l’appréciation de la licéité des traitements

La procédure d’audit permet d’obtenir une description exacte des finalités des traitements inclus dans le champ de l’audit.

     

     

La procédure d’audit permet d’apprécier le fondement légal de chaque traitement inclus dans le champ de l’audit.

     

     

La procédure d’audit comprend une démarche particulière pour déterminer si les données à caractère personnel des traitements inclus dans le champ de l’audit sont pertinentes, adéquates et non excessive au regard des finalités identifiées.

     

     

La procédure d’audit permet d’évaluer si les données à caractère personnel utilisées sont toutes nécessaires au regard de la finalité recherchée, et si certaines d’entres elles pourraient être partiellement ou totalement anonymisées tout en permettant d’atteindre la finalité désirée.

     

     

La procédure d’audit permet d’évaluer la qualité de la méthode de recueil des données à caractère personnel auprès de personnes concernées, notamment pour apprécier son caractère loyal et licite.

     

     

La procédure d’audit permet de s’assurer que les traitements confiés à des prestataires font l’objet d’un contrat de prestation de service.

     

     

La procédure d’audit permet de s’assurer que les contrats de prestation de services contiennent des dispositions relatives aux mesures de sécurité et des instructions claires données par le responsable de traitement à son prestataire.

     

     

La procédure d’audit dispose d’une méthode d’identification des flux de données hors de l’Union européenne.

     

     

La procédure d’audit permet de vérifier l’existence et la conformité des instruments juridiques permettant d’encadrer les transferts hors de l’Union européenne.

     

     

Exigences relatives à l’étude des personnes accédant aux données

La procédure d’audit dispose d’une méthode permettant de recenser et de catégoriser l’ensemble des personnes qui, en raison de leurs fonctions, sont chargées de traiter les données à caractère personnel qui sont inclus dans le champ de l’audit.

     

     

La procédure d’audit permet d’évaluer la politique d’habilitation appliquée à chaque personne ayant un accès légitime aux données identifiées, au regard du principe de limitation des accès au besoin d’en connaître.

     

     

Exigences relatives à l’analyse des durées de conservation

La procédure d’audit comprend une démarche particulière pour recenser les durées de conservation des données à caractère personnel utilisées.

     

     

La procédure d’audit comprend une démarche particulière pour déterminer si les durées de conservation sont adéquates.

     

     

11La procédure d’audit prévoit des contrôles pertinents sur les systèmes d’information par des auditeurs « techniques » afin de vérifier si les durées de conservation appliquées sont conformes aux durées prévues.

     

     

La procédure d’audit prévoit des contrôles afin de vérifier que les données font l’objet d’une suppression effective à l’expiration de leur durée de conservation.

     

     

La procédure d’audit examine également la politique d’archivage des données à caractère personnel, le cas échéant, au regard des recommandations de la CNIL en la matière.

     

     

Exigences relatives à l’étude de la sécurité

La procédure d’audit permet d’analyser et d’évaluer la démarche mise en œuvre par les responsables de traitement pour assurer la confidentialité, l’intégrité et la disponibilité des données à caractère personnel entrant dans le champ de l’audit.

     

     

La procédure d’audit comprend une démarche particulière pour identifier les principaux risques que les traitements dans le champ de l’audit font peser sur les libertés et la vie privée des personnes concernées en cas d’atteinte à la sécurité des données à caractère personnel, en tenant compte des éventuels sous-traitants. Cette démarche permet notamment d’estimer ces risques en termes de gravité et de vraisemblance.

     

     

12La procédure d’audit comprend une démarche particulière pour identifier les mesures de sécurité mises en œuvre et pour évaluer leur pertinence vis-à-vis des risques identifiés et estimés, notamment pour gérer les incidents de sécurité liés aux données à caractère personnel.

     

     

La procédure d’audit permet de déterminer si les mesures de sécurité identifiées sont correctement mises en œuvre et s’appuie sur des vérifications adéquates effectuées sur les systèmes d’information, réalisées par des auditeurs « techniques ».

     

     

Exigences relatives à l’étude du respect des droits des personnes

La procédure d’audit permet de vérifier que les personnes concernées disposent d’un droit d’accès, de rectification et le cas échéant d’un droit d’opposition.

     

     

13La procédure d’audit permet de contrôler que les droits des personnes peuvent être exercés de manière effective, et dans des délais raisonnables.

     

     

La procédure d’audit permet de vérifier que les personnes disposent d’une information correcte, accessible et claire sur leurs droits, ainsi que sur les autres éléments d’information prévus par la loi.

     

     

Exigences relatives à l’étude des traitements particuliers

La procédure d’audit permet de déterminer le régime juridique dont relèvent les traitements au sein du champ de l’audit et d’étudier la conformité aux dispositions particulières afférentes en matière de protection des données à caractère personnel, notamment :

  • l’utilisation de données sensibles ;

  • les traitements portant sur des données génétiques, les traitements portant sur des infractions, les traitements d’exclusion, les interconnexions, les traitements utilisant le NIR, les traitements portant une appréciation sur les difficultés sociales des personnes, les traitements biométriques,

  • les traitements du monde de la santé (recherche et évaluation des pratiques) ;

  • les traitements aux fins de journalisme et d'expression littéraire et artistique ;

  • les traitements mettant en œuvre un processus d’anonymisation ;

  • les traitements mis en œuvre par l’État.

     

     


1   2   3   4

similaire:

Informations administratives1 iconInformations administratives1

Informations administratives1 iconInformations administratives1

Informations administratives1 iconInformations administratives1

Informations administratives1 iconIl est arrete et convenu ce qui suit
«confidentiel», étant précisé que la Partie destinataire considérera pendant ce délai de trente (30) jours les informations ainsi...

Informations administratives1 iconRésumé de l’étude
«informatique et libertés» du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent....

Informations administratives1 iconCadre juridique et acteurs du controle externe
«Les établissements de santé privés ne participant pas au service public hospitalier sont tenus de fournir aux organismes d'assurance...

Informations administratives1 iconRapport au Président de la République relatif à l’ordonnance n° 2005-650...
«data gouv fr» par la mission «Etalab» et l’application des dispositions régissant le droit de réutilisation des informations publiques...

Informations administratives1 iconInformations légales

Informations administratives1 iconInformations legales

Informations administratives1 iconInformations institutionnelles






Tous droits réservés. Copyright © 2016
contacts
d.20-bal.com