Le diagnostic RGPD au service de l’amélioration des pratiques et de l’anticipation des risques !
En 2019, Data Terra a réalisé 4 diagnostic des traitements de données personnelles pour accompagner diverses structures associatives vers la conformité des pratiques en termes de protection des données personnelles.


Durée d'intervention

2 à 4 mois


Description

Le diagnostic RGPD permet de vérifier la conformité des pratiques de l'organisation en termes de protection des données personnelles et d’identifier des pistes d’amélioration et de mise en œuvre concrètes.
L’ensemble des traitements de l'organisation sera étudié en termes de conformité aux dispositions particulières afférentes en matière de protection des données à caractère personnel. Sont notamment analysés les points suivants :
  • • Données collectées
  • • Finalités des traitements
  • • Responsabilité de la fédération
  • • Destinataires des données (ex : limitation des accès, accessibilité du traitement à des prestataires externes...)
  • • Fondement légal
  • • Caractère loyal et licite de la collecte (ex : recueil du consentement, adéquation, pertinence et non-excessivité des données...)
  • • Information des personnes et respect des droits des personnes (droit d’accès, droit de rectification, droit d’opposition, droit à l’effacement des données, droit à la portabilité, droit à la limitation)
  • • sécurité (collecte, stockage...)
  • • Effectivité et délai d’exercice des droits
  • • Conservation des données (ex : limitation de la durée de conservation, adéquation de la durée de conservation, archivage)
  • • Utilisation de données sensibles ( ex : traitements portant sur des infractions, les traitements d’exclusion, les interconnexions, les traitements utilisant le NIR, les traitements portant une appréciation sur les difficultés sociales des personnes ...)
  • • Transfert des données hors de l’Union Européenne
Dans le cadre des diagnostics réalisés par Data Terra, sont également abordés l’organisation interne, le registre des traitements de données et l’analyse d’impact relative à la protection des données.



Approche méthodologique

L’audit prend en compte :
  • • l’ensemble des traitements de données à caractère personnel mis en œuvre par votre organisation
  • • la totalité du cycle de la vie des données à caractère personnel : de la production à la destruction
  • • les diverses relations qu’entretient votre organisation avec les salariés, adhérents, élus, partenaires, prestataires...

Il se déroule en 5 phases :
  • 1. Réalisation de la revue des documents
  • 2. Préparation des activités d’audit sur site
  • 3. Réalisation des activités d’audit sur site
  • 4. Préparation du rapport d’audit
  • 5. Diffusion du rapport et clôture de l’audit

Il repose sur différents outils et démarches :
  • • Questionnaires (RGPD et Sécurité) transmis préalablement à l’audit sur site et destiné à l’équipe de permanents de votre organisation (phases 1 et 2)
  • • Observation sur site du fonctionnement, des pratiques et du matériel informatique de votre organisation (phase 3)
  • • Entretiens réalisés auprès d’un échantillon des membres de l’équipe de permanents de votre organisation représentant les aspects administratifs, financiers, techniques, informatiques, décisionnels ... (phase 3)
  • • Analyse, investigation et contrôle (phase 4)
  • • Formulation de recommandations (phase 4)
  • • Communication et pédagogie (phase 5)

Livrables proposés :
  • • état des lieux des traitements
  • • points de vigilance et de non-conformité
  • • risques encourus
  • • préconisations à prendre
  • • plan de mise en œuvre des préconisations