Etape 3 : Gérer les risques
La gestion des risques dans Dastra peut prendre plusieurs formes :
  • L'analyse d'impact relative à la protection des données (AIPD / PIA),
  • L'identification et l'évaluation des risques (grâce au module Risques),
  • Les audits.

L'analyse d'impact

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (AIPD).
Mener une AIPD est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD)
Pour vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés, les 9 critères suivants sont définis dans les lignes directrices du G29 :
  1. 1.
    Evaluation ou notation;
  2. 2.
    Décision automatisée avec effet juridique ou effet similaire significatif;
  3. 3.
    Surveillance systématique ;
  4. 4.
    Données sensibles ou données à caractère hautement personnel ;
  5. 5.
    Données personnelles traitées à grande échelle ;
  6. 6.
    Croisement d’ensembles de données ;
  7. 7.
    Données concernant des personnes vulnérables ;
  8. 8.
    Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
  9. 9.
    Exclusion du bénéfice d’un droit, d’un service ou contrat.
Ces critères sont directement intégrés à notre workflow de création de traitement de données, et vous pouvez renseigner pour chacun de vos traitements s'il y a eu de réaliser un PIA sur celui-ci ou non.
Exemple de traitement nécessitant potentiellement un PIA.

L'identification et l'évaluation des risques

Le module Risques dans Dastra vous permet de gérer les risques au niveau de vos traitements, de vos acteurs (par exemple, les sous-traitants) et de vos actifs.
La méthodologie de gestion des risques répond aux exigences standard de gestion des risques sur les systèmes d'information.
4 étapes sont ainsi à suivre :
1 : identification du risque
2 : évaluation du risque
3 : réponse au risque
4 : surveillance du risque
Le risque d'une manière générale se mesure de la façon suivante :
Risque=ProbabiliteˊImpactRisque = Probabilité * Impact

Les audits

Pour aller plus loin dans la gestion des risques, Dastra vous propose également de concevoir des audits, réaliser des campagnes et collecter les résultats sous forme de rapport d'audit exportable.
Ca y est, vos risques sont identifiés et évalués ! Passez ensuite à l'étape 4, priorisation des tâches:
Copier le lien
Sommaire
L'analyse d'impact
L'identification et l'évaluation des risques
Les audits