Gérer les données

Les questions à se poser

1. Avez-vous :

• Une politique de sécurité, de technologies de protection, de monitoring et d’alerte en cas de fuite de données ?
• Des justificatifs légaux et documentés de l’utilisation de données personnelles sensibles?

2. Êtes-vous capable de fournir aux personnes concernées une information qui décrit comment vous utilisez leurs données personnelles, comment vous les avez obtenues ou elles sont utilisées à des fins différentes de celles convenues initialement ?
3. Est-ce que votre entreprise est capable de stopper/limiter/rectifier/effacer le traitement de certaines données sur demande d’une personne, y compris chez vos sous-traitants?
4. Êtes-vous capable d’obtenir le consentement des personnes pour traiter leurs données personnelles?
5. Avez-vous un mécanisme pour fournir aux personnes une copie de leurs données?

Les obligations GDPR sous-jacentes

• Obligation de notification
• Privacy by design/default
• Droit à l’information et accès aux données personnelles
• Droit à limitation de traitement
• Droit à l’information, transparence
• Droit à l’effacement/rectification
• Droit à la portabilité
• Obligation de documentation
• Gestion des preuves

Les impacts et défis technologiques

• Archivage des données selon les politiques de rétention
• Stockage des données et niveaux de sécurité en fonction de la sensibilité des données
• Gestion des obligations de rétention (tant en effacement qu’en rétention)
• Gestion des droits par type d’informations (impression, transfert, sauvegarde, édition, copie)
• Gestion des données (rétention, effacement, restriction par rapport à la localisation et aux bases légales de consentement, mises à jour de métadonnées)
• Registres des activités de traitement (accès, corrections, modifications, actions)
• Contrôle d’identité et de l’âge
• Sécurité des accès distants
• Politique de mobilité