Questionnaire de pré-audit

Nom, prénom, fonction, nom de la collectivité *


Avez-vous identifié pour vos traitements : les finalités, les personnes concernées, les catégories de données traitées ? *

Ces éléments sont un préalable nécessaire à l’établissement du registre de traitements exigé par le RGPD pour chaque responsable de traitement et sous-traitant.

Avez-vous vérifié la stricte nécéssité des données collectées par rapport aux finalités des traitements ? *

Limiter par défaut le traitement de données à caractère personnel à ce qui est strictement nécessaire, en ce qui concerne la quantité de données traitées, leur accessibilité et leur période de conservation

Pouvez-vous justifier la base légale de chacun de vos traitements ? *

Le traitement doit être fondé sur une base légale prévue à l'article 6 du règlement (licéité), qui peut être : une obligation légale, l'intérêt légitime du responsable de traitement, l'exécution d'un contrat, le consentement exprimé par la personne concernée, la protection des intérêts vitaux d'une personne concernée, une mission d'intérêt ou de service public 

Lorsque la base légale du traitement est le consentement, avez-vous mis en place des mécanismes de gestion de ces consentements? *

Gestion = recueil, modification, enregistrement, révocation, etc

Vous arrive t'il d'effectuer des croisements entre plusieurs catégories de données (interconnexion de fichiers), la réutilisation de données collectées lors d'un autre traitement ou l’enrichissement des données déjà existantes ? *

Exemple: Croiser l'adresse postale et l'adresse I.P afin d'identifier la personne derriere l'ordinateur

Des durées de conservation des données sont-elles définies pour chaque traitement de données à caractère personnel ? Si oui, les durées sont-elles communiquées aux personnes concernées ? *

Les traitements de données doivent être encadrés dans le temps, et les durées de conservation des données concernées par ces traitements doivent être communiquées au public


Avez-vous une cartographie exhaustive des données personnelles traitées dans votre système d'information ? *

Inventaire complet de toutes les données personnelles contenues dans vos fichiers papiers et numériques : dossiers papiers, formulaires, dictionnaire de données, accès (utilisateurs, interfaces), applications, bases de données, serveurs, Datacenter, services cloud, localisation, …

Avez-vous adoptés les principes de Privacy by design et Privacy by default lors de la mise en place de nouveaux traitements? *

Privacy by Design: Sécurité maximale des données dès la conception du traitement ; Privacy by Default: Le plus haut niveau de sécurité possible

Avez-vous intégré les recommandations sécurité informatique du RGPD dans votre politique de sécurité des systèmes d'information ? *

Avez-vous mis en place des mécanismes de protection des données personnelles (notamment chiffrement ou de pseudonymisation) ? *

Pseudonymisation: ajout d'une couche de camouflage afin de "crypter" les données à caractere personnel, et ainsi ne plus pouvoir identifier la personne concernée. contrairement à l'anonymisation, la pseudonymisation est réversible.

 

Avez-vous prévu le sort réservé aux données personnelles une fois l'objectif du traitement atteint ? *

Ex: Collecte de données personnelles (nom et adresse) dans le cadre d'un jeu concours. Une fois le jeu terminé, les données doivent être supprimées ou anonymisées

Avez-vous mis en place des mécanismes de traçabilité d’accès aux données personnelles ? *

Au sein de la collectivité, savoir quel agent traite les données à caractère personnel: Accès des utilisateurs/interfaces, déplacements et copies en masse des données à personnelles, etc.

Avez-vous établi la procédure de détection, de traitement et de notification des violations de données personnelles ? *

En cas de piratage, de perte ou d'altération des données personnelles: Procédure détaillant la détection, la réponse à incident et la communication en cellule de crise, puis l'autorité dans les 72 heures

Avez-vous défini contractuellement des exigences en termes de protection des données avec vos sous-traitants informatiques (prestataires ou fournisseurs) ? *

Exemples = questionnaire de sécurité, clauses contractuelles liées à la protection des données, clause d'audit de sécurité, suppression des données à la fin de la prestation, etc.

Effectuez-vous régulièrement des contrôles / audit de sécurité de vos sous-traitants informatiques (prestataires ou fournisseurs) ? *

Exemples : vérification de la mise en place des clauses de sécurité, audit technique de sécurité, tests d'intrusion, etc.

Avez-vous défini et mis en œuvre une ou des solutions pour répondre aux demandes d’accès, de rectification, de suppression des données, de droit à l'oubli, de droit à la portabilité, de limitation des traitements dans vos applications ? *


Avez-vous intégré les éléments de conformité au RGPD dans vos politiques et procédures ?Les politiques et procédures en lien avec le RGPD sont-elles diffusées aux agents de votre collectivité ? *

Les politiques précisent les durées de conservation des données personnelles, la sécurité des données, la suppression des données, la notification en cas de violation des données personnelles, la validation périodique de la pertinence du dispositif en place, etc.

Une veille juridique a-t-elle été mise en place pour suivre les évolutions réglementaires ? *

Avez-vous intégré le RGPD à votre programme de formation RH ? *

Le  programme de formation inclut des dispositifs comme du E-learning, des formations régulières  (Manager, SI, métiers), des actions de communication, etc relatifs aux enjeux et bonnes pratiques de la protection des données personnelles

Les élus ont-ils participés à une séance de sensibilisation concernant leur responsabilité ? *

Avez-vous réalisé un état des lieux des processus métiers traitant des données personnelles ? *

Tous les questionnaires, formulaires, logiciels, documents papiers ou numériques par exemple qui contiennent des données à caractère personnel

Collectez vous des données de personnes mineures ? *

En France, l’âge retenu est de 15 ans : les enfants de 15 ans ou plus peuvent consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. Entre 13 et 15 ans, la loi  "Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.

Si vous collectez des catégories particulières de données (données sensibles), avez-vous vérifié la licéité de leur collecte et de leur traitement? *

Cf. articles 9 et 10 du RGPD

Les personnes concernées bénéficient-elles d’une information claire et compréhensible sur leurs droits et la finalité poursuivie lors de la collecte des données ? *

Information généralement dispensée sur le formulaire de collecte de données, ou à l'oral ou via affichage si il est rempli par un agent (par ex. à l'accueil)

Avez-vous une procédure validée et testée pour répondre aux demandes d’exercice des droits prévus par le RGPD ? *

Y compris la notification des demandes de rectification ou de suppression aux        sous-traitants ou autres tierces parties destinataires des données

Les personnes concernées peuvent-elles retirer leur consentement ? *

Via une procédure prévue en interne, demande faite à l’écrit par mail généralement

Avez-vous défini contractuellement avec vos sous-traitants des exigences en termes de protection des données ? *

Signature d'un contrat ou d'un avenant comprenant les responsabilités et engagements des parties concernant la protection des données personnelles

Avez-vous identifié les transferts de données personnelles hors Union Européenne ? Si oui, avez-vous formalisé les garanties mises en œuvre ou à l'étude? *

Garanties cf. chapitre V du RGPD: soit niveau de protection adéquate du pays tiers (art. 44) soit mécanisme de sauvegarde visé à l'art 46 (p ex Binding Corporate Rules ou Clause contractuelle type) 

Quelles sont les mesures de protection des données personnelles appliquées par votre service informatique ? *

Exemple d'exigences de sécurité: pseudonymisation, chiffrement, stockage et transferts sécurisés, règles de purge ou d'archivage, etc…

Quelles sont les mesures de protection des données personnelles appliquées pour les documents papier ? *

Barreaux aux fenetres, alarmes, caméras de surveillance, armoires sécurisées, coffre fort…

Les agents sont ils associés au processus de détection, de traitement et de notification des violations de données personnelles ? *

Existe-t-il une procédure de signalement des failles impliquant tous les maillons de la collectivité ?

Avez-vous défini des critères de décision pour déterminer si une Etude d'impact sur la vie privée (DPIA) était nécessaire ? *

Existe-t-il des traitements qui necessiteraient une étude d'impact ? *

Article 35:  Tout traitement qui, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques


Chaque utilisateur se connecte avec un identifiant (login) unique à l’ouverture de session ?

Y a t-il une procédure de verrouillage automatique de session sur chacun de vos postes ?

Recueillez-vous l’accord de l’utilisateur avant toute intervention sur son poste ?

Avez-vous prévu des moyens de chiffrement des équipements mobiles ?

Faites-vous des sauvegardes ou synchronisations régulières des données de vos équipements mobiles ?

Où sont stockées ces copies ? Qui y a accès ? Combien de temps sont elles sauvegardées ?

Sécurisez-vous les accès distants des équipements mobiles par VPN ?

Y a t-il des accès via l’extérieur à votre système d’information (par exemple en TSE) ?

TSE -> ouverture d'un bureau distant

Avez-vous mis en oeuvre un protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi ?

Avez-vous formalisé un plan de reprise d’activité (PRA) ?

Hébergez-vous vous-même votre site web ?

Avez-vous un logiciel anti-spam ?

Utilisez-vous un progiciel spécifique, spécialement développé pour vous ?

Vos documents papier contenant des données personnelles sont-ils stockés dans un endroit protégé ?

Procédez-vous à des campagnes d’e-mailing ou de SMS par vous même?

Disposez-vous d’un firewall matériel ?

Pratiquez-vous une surveillance systématique d’une zone accessible au public via une caméra?