C1 - Cartographier les traitements de données personnelles d’une entreprise afin de mettre en place le registre des traitements, en respectant la règlementation en vigueur et en se conformant au règlement européen sur la protection des données (RGPD)
A2-Gestion des risques des traitements de données personnelles
C2 - Identifier les risques de sécurité et de conformité liés aux traitements de données dans un cadre national ou international en réalisant des analyses de risque, pour mettre en place des mesures de sécurité adaptées et limiter les risques de violation de données
C3 - Évaluer la pertinence d’effectuer une AIPD (analyse d'impact relative à la protection des données) en s’appuyant sur les outils mis à disposition par la CNIL, pour construire un traitement conforme au RGPD
C4 - Gérer un incident de sécurité et/ou de conformité à la réglementation en matière de protection des données en suivant une procédure de sécurité, afin de déterminer la nature de la faille et de mettre en place des solutions de résolution
A3-Mise en place d’un système de management des données personnelles
C5 - Identifier la base légale sur laquelle se fonde le traitement pour déterminer le périmètre réglementaire, en adoptant un raisonnement adapté à la situation et au type de traitement
C6 - Encadrer la relation avec les sous-traitants en établissant un contrat incluant les mentions obligatoires prévues au RGPD, afin que ces sous-traitants connaissent leurs nouvelles obligations et responsabilités, et qu’ils puissent également se conformer à la réglementation
C7 - Établir les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité des données, retrait du consentement...), en respectant le cadre réglementaire, pour recevoir et gérer les demandes d'exercice des droits
C8 - Élaborer des outils de suivi de l’utilisation des traitements (analyse de logs, détection de données interdites, vérification du respect des durées de conservation, ...), afin d’être alerté en cas de non-respect des procédures de sécurité des données
C9 - Élaborer des outils de contrôle de l’effectivité des mesures techniques et organisationnelles de protection des données pour identifier les anomalies et dysfonctionnements
C10 - Rédiger la politique générale de traitement des données, en se conformant aux exigences du RGPD, pour informer les personnes concernées par le traitement de leurs données
A4-Communication sur les sujets RGPD
C11- Communiquer avec la CNIL pour faciliter les échanges en cas de contrôle
- en étant le point de contact de l’organisme sur les sujets RGPD,
- en répondant aux demandes lors d’un contrôle sur place, instruction d’une réclamation, consultation dans le cadre d’une AIPD, notification d’une violation de données, ...
C12 - Communiquer avec les personnes dont les données personnelles sont traitées pour faciliter les échanges en cas de demande d’information ou de réclamation,
- en étant leur point de contact
- en prenant en charge l’organisation du traitement de leurs demandes d’exercice de droits (accès, portabilité, etc.) afin qu’une réponse complète leur soit apportée dans les délais impartis
- en répondant à toutes leurs questions relatives au traitement de leurs données personnelles
C13 - Communiquer au sein de l’organisme pour sensibiliser la direction et les collaborateurs aux règles régissant la protection des données personnelles :
- en étant l’interlocuteur interne référent pour toute question concernant la protection des données, et si nécessaire au moyen de personnes relais
- en procédant à des actions de communication et de sensibilisation sur le sujet de la protection des données (affiches, guides pratiques, …)
- en formant en interne, les collaborateurs qui traitent les données au sein de l’organisme sur les grands principes de la protection des données personnelles
- en tenant un tableau de bord des activités menées, afin d’alimenter un point régulier (réunion de direction), ainsi qu’un rapport d’activité régulier à destination de la direction de l’entreprise
C14 – Communiquer de manière inclusive en prenant en compte les besoins spécifiques de ses interlocuteurs en situation de handicap, afin de garantir la transmission de l’information
A5 - Mise en conformité RGPD des systèmes d’IA
C15 - Évaluer la nécessité et la proportionnalité du traitement des données pour les systèmes d’IA, en réalisant une analyse d’impact sur les droits fondamentaux (AIDF)
C16 – Réaliser des audits réguliers en se conformant au processus de surveillance et de suivi décrit dans l’AIDF, pour s’assurer que les algorithmes respectent les principes de transparence et d’équité
C17- Réaliser des AIPD spécifiques (analyse d'impact relative à la protection des données) pour les projets utilisant de l’IA, conjointement ou de manière coordonnée avec l’AIDF, afin d’identifier et de limiter les risques, en couvrant l’ensemble des exigences des deux réglementations
A6 - Mise en place d’un système de veille
C18 – Effectuer une veille permanente (sur la jurisprudence, les publications des autorités de contrôle, ...) en mettant en place un système de veille pour entretenir ses connaissances techniques et opérationnelles en lien avec les activités de traitement de l’entreprise, et à l’occasion de formations et de partages d’expérience avec son réseau de DPO.
