Testez votre degré de conformité !
Êtes-vous incollable sur les règles applicables en matière de protection des données à caractère personnel ? Votre organisme a-t-il adopté les bonnes pratiques pour respecter les exigences issues du Règlement Général sur la Protection des Données (RGPD) ?
Relevez le défi : testez l’étendue de vos connaissances et de celles de vos collaborateurs sur le sujet ! Grâce à ce quiz, RGPD-Experts vous propose de vérifier de façon simple et ludique si les actions entreprises par votre structure sont adéquates et suffisantes pour répondre à vos obligations légales
Question 1: Applicabilité de la législation à mon organisme
A) Je ne manipule que des informations manuscrites et non numériques, je ne suis pas concerné par ces lois.
B) Je suis concerné par l’application de ces règles, car j’ai plus de 11 salariés/membres.
C) Je m’efforce de respecter ces règles car je traite des données personnelles en interne (notamment sur les membres de mon personnel) et en externe (clients, fournisseurs, partenaires commerciaux).
D) Cette législation ne s’applique pas à mon égard, car je traite les données d’un autre organisme pour son compte.
Question 2: Sources d’inspiration de mon organisme
Pour décider des mesures prises afin d’assurer la protection des données personnelles, mon organisme se réfère… :
A) A des recommandations publiées dans des articles en ligne, sur des blogs d’ « experts/spécialistes ».
B) Aux seules dispositions du Règlement Général sur le Protection des Données (RGPD).
C) Uniquement aux préconisations et actions mises en place par notre Délégué à la protection des données ou un consultant recruté à cette fin.
D) Au RGPD, à la Loi « Informatique et Libertés » du 6 janvier 1978 dans sa version modifiée, mais aussi aux textes législatifs et réglementaires spécifiques à mon secteur d’activité.
Question 3: Recensement des traitements de données mis en œuvre par mon organisme
A) Je sais précisément quels types de traitement sont mis en œuvre par mon organisme pour poursuivre ses missions.
B) Je n’effectue aucun traitement de données personnelles. Je suis obligé de les collecter auprès de nos clients, mais je ne les exploite pas.
C) J’ai recensé et inscrit l’intégralité des traitements de données mis en œuvre par mon organisme au sein d’un registre dédié (registre des activités de traitement), que je mets régulièrement à jour.
D) J’ai une vague idée des traitements de données mis en œuvre par mon organisme, mais je viens de réaliser que je n’avais pas pris en compte les données personnelles traitées en interne dans le cadre de mes activités de ressources humaines.
Question 4: Délégué à la protection des données
A) J’ai désigné un Délégué à la protection des données, alors même que cela ne m’était pas imposé.
B) Je n’ai pas de Délégué à la protection de données, et ne sais pas si mon organisme est tenu d’en désigner un.
C) L’employeur n’est-il pas d’office lui-même Délégué à la protection des données ?
D) J’ai désigné un Délégué à la protection des données, car les textes imposent à mon organisme de le faire.
Question 5: Conscience des risques particuliers de l’activité de mon organisme pour la protection des données à caractère personnel
A) Je ne traite pas de données sensibles ou que très rarement, il n’y a donc pas de risques.
B) Des analyses d’impact relatives à la protection des données ont été menées sur les opérations susceptibles d’engendrer des risques élevés pour les personnes concernées.
C) Je ne manipule que des données récoltées en interne, notamment concernant les employés/membres de mon organisme. Les risques sont donc limités.
D) Je ne sais pas quels critères prendre en compte pour savoir si l’activité de mon organise comporte des risques particuliers.
Question 6: Conformité du site Internet de mon organisme
A) Les mentions légales et la politique de protection des données du site reprennent toutes les informations obligatoires prévues par la loi
B) En plus des mentions légales imposées, le site intègre un outil permettant de gérer le consentement des internautes aux cookies non nécessaires, un accès à notre politique de protection des données et communique les coordonnées de notre Délégué à la protection des données/personne de référence à contacter par les personnes concernées.
C) Le site inclut des mentions légales et une politique de protection des données « types » trouvées sur Internet, et non adaptées à l’activité spécifique de mon organisme.
D) Ohlala, laissez-moi rectifier tout cela avant de répondre à la question !
Question 7: Transferts de données à caractère personnel à l’étranger
A) Mon organisme ne transmet aucune donnée personnelle vers des pays situés en dehors de l’Union Européenne (UE) et héberge ses données en France, ou dans un autre État membre de l’UE.
B) part les services de “Google”, mon organisme n’utilise aucun service étranger. Je ne suis donc pas concerné par la question.
C) Mon organisme a une dimension internationale, mais les flux de données en dehors de l’Union Européenne ne font l’objet d’aucun encadrement particulier.
D) Mon organisme a une dimension internationale, mais les mesures nécessaires ont été prises pour s’assurer que la protection accordée à ces données ne soit pas compromise lors de leurs transferts vers des pays situés en dehors de l’UE.
Question 8: Gestion des relations de sous-traitance
A) Mon organisme ne confie à aucun prestataire le traitement des données personnelles dont il dispose.
(Ah bon ? Même pour la gestion de la paie des salariés ou la réalisation d’études de marché ?)
B) Mon organisme délègue autant que possible ses opérations de traitement de données personnelles à des tiers, afin de reporter sur eux toute responsabilité en cas de manquement au RGPD.
C) Mon organisme formalise systématiquement sa relation avec des sous-traitants, et inclut dans cet écrit des clauses spécifiques à la question de la protection des données personnelles.
D) Mon organisme évalue la conformité de ses potentiels sous-traitants avant de formaliser avec eux un quelconque partenariat, par un écrit encadrant strictement la manipulation de ces données. Mon entité suit scrupuleusement le bon déroulement des activités qu’elle leur a confiées.
Question 9: Mesures de sécurité 1/3 : sécurité logique
Les salariés/membres de l’organisme peuvent utiliser les outils informatiques de l’organisme…
A) Librement : un organisme ne peut pas avancer sans que ne règne une totale confiance entre ses membres.
B) A condition de s’authentifier avec des codes propres à chaque service.
C) A condition de s’authentifier avec leur code individuel, les droits de chacun étant limités conformément à la politique d’habilitation adoptée par l’entreprise et régulièrement révisée (notamment en cas de départ). Des dispositifs permettant d’assurer une traçabilité des connexions ont également été mis en place.
D) L’encadrement de l’utilisation du réseau et de l’intranet de l’organisme est difficile, car les données sont traitées par les salariés/membres de l’organisme depuis leur équipement informatique personnel.
Question 10: Mesures de sécurité 2/3 : sécurité physique
A) Les locaux ne sont accessibles qu’aux seules personnes spécialement habilitées à s’y rendre (grâce à des badges, des clés…)
B) L’accès aux locaux de l’organisme est libre.
C) Les locaux sont accessibles librement sur la journée, mais des systèmes de vidéo-surveillance et d’alarmes ont été installés.
D) L’accès aux locaux est contrôlé ou limité (agent de sécurité, badge, clés…) et les lieux de stockage de données personnelles sont sécurisés (postes de travail systématiquement verrouillés, armoires fermées à clés…).
Question 11 : Mesures de sécurité 3/3 : sécurité juridique
A) Mon organisme est blindé : politique d’habilitation limitant l’accès aux données, accords de confidentialité, charte informatique, politique de gestion des sous-traitants, de gestion des durées de conservation, procédure à suivre en cas de violation de données ou de contrôle de la CNIL, registres des activités de traitement / de gestion des demandes d’exercice de droit / des violations de données, politique de continuité et de reprise d’activité, etc. Pas sûr d’avoir tout compris, mais tout y est.
B) Un registre des activités de traitement a été créé et est régulièrement mis à jour par l’organisme.
C) L’essentiel, c’est que les bonnes pratiques soient adoptées sur le terrain. Les procédures ne valent rien, car elles ne garantissent pas que des mesures soient prises pour assurer concrètement la protection des données personnelles manipulées par l’organisme.
D) Au-delà des registres et documents imposés par les textes, mon organisme a adopté toutes les procédures utiles et adaptées à son activité.
Question 12: Durées de conservation
A quelle fréquence détruisez-vous les données personnelles manipulées par votre organisme ?
A) Quand nous n’en avons plus besoin.
B) Les durées de conservation sont adaptées selon la catégorie des données personnelles concernées, ainsi que selon les obligations légales pesant sur notre organisme et les recommandations de la CNIL en la matière.
C) Mon organisme applique un délai fixe de conservation compris entre 5 et 10 ans, et organise un archivage systématique des dossiers à l’échéance de cette période.
D) Vous avez raison, il serait temps de faire un tri ! La salle d’archives déborde…
Question 13: Sensibilisation des salariés/membres de l’organisme sur les enjeux liés à la protection des données à caractère personnel
A) Les salariés/membres de l’organisme ont signé divers actes contraignants (accords de confidentialité, charte informatique les informant des pratiques interdites et recommandées concernant l’usage des outils numériques mis à leur disposition et charte sur leur droit à la déconnexion), et ont suivi une/plusieurs formation(s) sur ce sujet.
B) Les salariés/membres de l’organisme ont été convoqués à une réunion d’information et une personne a été désignée en interne comme référent « Informatique et Libertés » pour répondre à leurs éventuelles questions.
C) Les salariés/membres de l’organisme reçoivent parfois des newsletters ou communications à ce sujet, et sont vivement incités à se renseigner par eux-mêmes pour approfondir leurs connaissances.
D) Les exigences imposées par le RGPD sont trop contraignantes, notre organisme a d’autres batailles à mener.
Question 14: Violation de données à caractère personnel et incidents de sécurité
A) Panique à bord ! Je ne saurais clairement pas comment réagir en cas de violation de données.
B) Mon organisme dispose de mécanismes d’alerte en cas de violation de données, et nous sommes prêts à aviser directement les personnes concernées en cas de problème.
C) Mon organisme dispose de mécanismes d’alerte en cas de violation de données et nous sommes prêts à réagir si un tel événement survient : une procédure de gestion de crise a été établie (mesures à adopter pour mettre fin à la violation, méthodologie d’analyse des risques pour les personnes concernées, évaluation de la nécessité de procéder ou non aux notifications parfois imposées par les textes, tenue d’un registre des violations de données, etc.).
D) Mon organisme ne traite pas de données sensibles. Même en cas de violation de données, les risques pour les personnes concernées seraient donc minimes
Question 15: Gestion des droits des personnes concernées
A) L’organisme informe les personnes concernées de la collecte de leurs données personnelles et des principales caractéristiques des opérations de traitement envisagées. Il a aussi mis en place une procédure destinée à gérer efficacement leurs demandes d’exercice de droits.
B) Le Délégué à la protection des données de l’organisme / référent en matière de protection des données se charge de ces questions, qui relèvent de sa seule responsabilité.
C) L’organisme répond aux demandes et questions des personnes dont il collecte les données personnelles, mais ne les informe pas spontanément sur les modalités de mise en œuvre de ces opérations de traitement de données.
D) L’organisme s’efforce d’informer immédiatement les personnes concernées sur ces opérations de traitement (au téléphone, lors de rencontres, sur des flyers), mais ce n’est pas toujours possible en pratique. Nous nous évertuons à répondre à leurs demandes, même si nous ne savons pas toujours quoi leur dire…
Résultats:
Vous avez un majorité de A.
Félicitations, votre organisme paraît avoir intégré le respect des règles en vigueur en matière de protection des données comme une composante à part entière de sa philosophie de travail. Vous semblez avoir saisi les principes essentiels instaurés par le RGPD et la loi « Informatique et Libertés », et paraissez volontaires de les adapter au mieux à votre activité spécifique. Attention toutefois à faire preuve de flexibilité et d’ingéniosité pour que ces impératifs ne soient pas perçus comme trop contraignants par vos salariés/membres. Vous risquerez de perdre leur adhésion à vos démarches…
Vous avez un majorité de B.
Bravo ! Vous avez mis en place de nombreuses actions et procédures pour vous conformer autant que possible à la législation applicable en matière de protection des données. Le sujet semble vous intéresser, et vous faites des efforts louables pour intégrer cette préoccupation à votre fonctionnement. Vous appliquez cependant mécaniquement certaines règles, sans en comprendre réellement ni le sens, ni les enjeux. Vos démarches, quelque peu confuses, méritent d’être approfondies et davantage adaptées à votre structure. N’hésitez pas à vous faire accompagner dans ce processus par des professionnels qualifiés !
Vous avez un majorité de C.
Votre organisme a envie d’intégrer à son fonctionnement les règles applicables en matière de protection des données, mais ne semble pas savoir par quel bout initier ses démarches. Nous vous recommandons, avant toute chose, de bien appréhender les principes essentiels insufflés par le RGPD et la loi « Informatique et Libertés ». Ce n’est qu’une fois avoir compris l’esprit de ces textes que vous pourrez mettre en place un plan d’action concret et cohérent, adapté à votre activité. Pourquoi ne pas former un ou plusieurs salariés/membres de votre organisme pour faire souffler ce vent nouveau dans votre entité ?
Vous avez un majorité de C.
Comme bien d’autres, vous considérez les obligations légales vous incombant en matière de protection des données comme un obstacle supplémentaire à la poursuite de vos activités. Or, votre conformité peut s’avérer être un véritable atout financier et concurrentiel[1]. Le RGPD autorise une certaine souplesse et, selon vos missions, n’impose pas nécessairement un changement radical de vos pratiques.
Nous vous invitons à vous renseigner davantage auprès de professionnels, à l’écoute de vos contraintes et de vos besoins, pour établir une stratégie de mise en conformité adaptée à votre entité. A défaut, un éventuel contrôle de la CNIL[2] pourrait définitivement compromettre votre activité…
Si ce quiz révèle des lacunes dans votre organisme ou si vous n’avez aucune idée de la réponse à l’une de ces questions, peut-être que votre conformité n’est finalement pas si optimale…
Que ce soit pour approfondir avec vous l’une des thématiques abordées par ce test ou pour vous assister de A à Z dans votre mise en conformité, notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.
Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/
[1] Sur cette problématique, nous vous invitons à lire notre précédent article sur « le véritable coût de la conformité », disponible à l’adresse suivante : https://www.rgpd-experts.com/le-cout-de-la-conformite/
[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
L.H
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.