Comment démontrer la conformité à l'article 24 du RGPD

Responsabilité du contrôleur

Demander demo

collègues,travail,moderne,studio.production,managers,équipe,travail,nouveau,projet.jeune,entreprise

RGPD L'article 24 est la première section du RGPD qui traite des obligations générales du responsable du traitement, qui sont décrites plus en détail dans les articles suivants.

Le changement de ton, passant d'une conformité passive à l'utilisation d'un langage obligatoire, est une caractéristique de la législation RGPD et donne le ton sur la manière dont les contrôleurs sont censés se comporter ultérieurement dans la législation.

Article 24 du RGPD Texte juridique

Version RGPD de l'UE

Responsabilité du responsable du traitement

  1. Compte tenu de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.

  2. Lorsqu'elles sont proportionnées par rapport aux activités de traitement, les mesures visées au paragraphe 1 incluent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

  3. Le respect des codes de conduite approuvés visés à l'article 40 ou des mécanismes de certification approuvés visés à l'article 42 peut être utilisé comme élément permettant de démontrer le respect des obligations du responsable du traitement.

Version du RGPD au Royaume-Uni

Responsabilité du responsable du traitement

  1. Compte tenu de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour garantir et pouvoir démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et mises à jour si nécessaire.

  2. Lorsqu'elles sont proportionnées par rapport aux activités de traitement, les mesures visées au paragraphe 1 incluent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

  3. Le respect des codes de conduite approuvés visés à l'article 40 ou des mécanismes de certification approuvés visés à l'article 42 peut être utilisé comme élément permettant de démontrer le respect des obligations du responsable du traitement.

Commentaire technique

'Mesures'

Le RGPD ne définit pas réellement ce qu'est une mesure technique, ce qui a semé une certaine confusion parmi les organisations qui ont du mal à comprendre quelles sont leurs obligations. En tant que tel, la plupart des autorités juridiques ont défini le terme « mesure » ​​comme toute action qu'une organisation peut entreprendre, ce qui la rend conforme.

Adopter une approche basée sur les risques

Compte tenu de la portée large du terme « mesure », afin de déterminer comment assurer la conformité, les organisations devraient se soumettre à une évaluation approfondie des risques qui prend en compte les nature, portée ainsi que but de ses activités de traitement.

En outre, les organisations doivent être continuellement conscientes du droit à la liberté individuelle, ainsi que des risques opérationnels.

Démontrer la conformité

En règle générale, plus le traitement est risqué, plus le nombre de preuves requis est important. Les organisations doivent se préoccuper de collecter des preuves physiques et numériques prouvant qu’elles sont une organisation conforme et respectueuse de la loi.

Aller au sujet

Clause 27701 de la norme ISO 5.2.1 (Comprendre l'organisation et son contexte) et article 24 (3) du RGPD de l'UE

Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.

Ceci comprend :

  • examiner les lois, réglementations ou « décisions judiciaires » en vigueur en matière de protection de la vie privée ;

  • en tenant compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise ;

  • facteurs administratifs;

  • accords avec des tiers ou contrats de service.

Clause 27701 de la norme ISO 6.15.1.3 (Protection des enregistrements) et article 24 (2) du RGPD de l'UE

La gestion des dossiers englobe quatre domaines clés :

  1. Authenticité;
  2. Fiabilité;
  3. Intégrité;
  4. Utilisabilité.

Les organisations devraient :

  • publier des lignes directrices qui traitent de :

    • stockage;

    • manutention (chaîne de contrôle) ;

    • élimination;

    • empêcher les manipulations.

  • indiquer combien de temps chaque type de dossier doit être conservé ;

  • respecter toutes les lois qui traitent de la tenue des dossiers ;

  • respecter les attentes des clients quant à la manière dont les organisations doivent gérer leurs dossiers ;

  • détruire les enregistrements une fois qu'ils ne sont plus nécessaires ;

  • classer les enregistrements en fonction de leur risque de sécurité, par exemple :

    • comptabilité;

    • transactions commerciales;

    • dossiers du personnel ;

    • légal

  • s'assurer qu'ils sont en mesure de récupérer les dossiers dans un délai acceptable, si un tiers ou un organisme chargé de l'application de la loi leur demande de le faire ;

  • respectez toujours les directives du fabricant lors du stockage ou de la manipulation d’enregistrements sur des sources multimédias électroniques.

Clause 27701 de la norme ISO 6.2.1.1 (Politiques de sécurité de l'information) et article 24 (2) du RGPD de l'UE

L'ISO préconise une approche double face de la protection de la vie privée au sein des organisations, qui comprend :

  • une politique générale de protection de la vie privée ;

  • politiques de protection de la vie privée spécifiques à un sujet.

Les deux types de politiques peuvent être soit combinés en un seul document, soit séparés selon le bon vouloir de l’organisation.

Les politiques doivent être diffusées à tous les membres du personnel concernés (et au personnel externe, le cas échéant), afin de garantir le respect continu des exigences internes et externes en matière de protection de la vie privée.

Il convient de demander à toute personne recevant une politique de confirmer, de préférence par écrit, qu'elle comprend ce qui lui est demandé et qu'elle est prête à s'y conformer.

Les politiques doivent être revues lorsque des modifications sont apportées à :

  • stratégie d'entreprise;

  • pratiques opérationnelles/environnements techniques ;

  • toute loi (y compris le RGPD), toute stipulation réglementaire ou toute directive générale relative aux informations personnelles que l'organisation a la responsabilité de respecter ;

  • les niveaux de risque en matière de protection de la vie privée et le paysage des menaces actuelles/prévues.

Politiques générales

La haute direction doit établir une politique de protection de la vie privée de haut niveau (ainsi que d'autres politiques spécifiques à un sujet) qui décrit clairement les processus et les mesures pratiques qui seront prises afin de protéger les informations personnelles.

Les politiques organisationnelles de protection de la vie privée doivent contenir des informations provenant de et rester pertinentes pour :

  1. la stratégie commerciale globale ;

  2. toute exigence réglementaire, légale ou contractuelle en vigueur ;

  3. tout risque clair et actuel en matière de protection de la vie privée.

Les politiques de protection de la vie privée doivent définir les éléments suivants de l'organisation :

  • définition opérationnelle de la protection de la vie privée ;

  • les objectifs déclarés en matière de protection de la vie privée ;

  • un ensemble plus large de principes directeurs relatifs à la protection des informations personnelles ;

  • l'engagement à atteindre leurs objectifs liés aux informations personnelles et à les améliorer de manière continue ;

  • approche consistant à déléguer la responsabilité de tout ou partie de la politique de protection de la vie privée aux types de rôles concernés ;

  • approche pour traiter les exceptions à la politique ;

  • il est prévu que la haute direction examine et approuve les changements.

Découvrez notre plateforme

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Nous sommes économiques et rapides

Découvrez comment cela augmentera votre retour sur investissement
Obtenez votre devis

Clause 27701 de la norme ISO 7.2.8 (Enregistrements relatifs au traitement des informations personnelles) et article 24 (1) du RGPD de l'UE

Les enregistrements (également appelés « listes d'inventaire ») doivent avoir un propriétaire délégué et peuvent inclure :

  1. opérationnel – le type spécifique de traitement des informations personnelles en cours ;

  2. justifications – pourquoi les informations personnelles sont en cours de traitement ;

  3. catégorique – listes de destinataires de PII, y compris les organisations internationales ;

  4. sécurité – un aperçu de la façon dont les informations personnelles sont protégées ;

  5. confidentialité – c'est-à-dire un rapport d'évaluation des facteurs relatifs à la vie privée.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
Article 24 (3) du RGPD de l’UEISO 27701 5.2.1Aucun
Article 24 (2) du RGPD de l’UEISO 27701 6.15.1.3Aucun
Article 24 (2) du RGPD de l’UEISO 27701 6.2.1.1Aucun
Article 24 (1) du RGPD de l’UEISO 27701 7.2.8Aucun

Comment ISMS.online vous aide

ISMS.online vous propose une solution complète RGPD.

Nous fournissons un environnement prédéfini pour vous permettre de décrire et de démontrer votre approche de la protection de vos données clients européennes et britanniques, qui s'intègre parfaitement dans votre système de gestion.

La plateforme ISMS.online dispose de conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapt, Add », de sorte que les efforts requis pour démontrer votre approche du RGPD sont considérablement réduits.

Vous avez 30 minutes ? Apprenez-en davantage en réserver une démo.

Voir ISMS.online
en action

Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo

Simple. Sécurisé. Durable.

Découvrez notre plateforme en action avec une session pratique personnalisée en fonction de vos besoins et de vos objectifs.

Réservez votre démo
img

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage