DASTRA
Français
Français
  • Introduction à Dastra
  • 🇪🇺Rappels utiles
    • Introduction au RGPD
    • Notions clefs du RGPD
      • Donnée personnelle
      • Registre des traitements
      • Analyse d'impact
      • Durées de conservation
      • Droits des personnes
      • Confidentialité dès la conception et par défaut
      • Mesures de sécurité
      • Violations de données
    • Gestion des risques
      • Définition des risques
      • Evaluation d'un risque
      • Risques sous-traitants
  • 👨‍💻Bien commencer
    • Mise en place
      • Les notions importantes
      • Créer et paramétrer un espace de travail
      • Créer et paramétrer les unités organisationnelles
      • Désigner un DPO
      • Ajouter une autorité chef de file
      • Inviter des utilisateurs
      • Gérer les rôles et permissions
      • Créer puis affecter des équipes
      • Questions fréquentes
    • Tutoriel
      • Etape 1 : La mise en place
      • Etape 2 : Cartographier vos traitements de données à caractère personnel et établir le registre
      • Etape 3 : Gérer les risques
      • Etape 4 : Prioriser les actions à mener
      • Etape 5 : Implémenter les processus internes
      • Etape 6 : Documenter la conformité
    • Support
      • L'assistant dastronaute
      • L'aide en ligne
      • Demande de support
      • Le processus de support client
  • ⚙️Les fonctionnalités
    • Tableau de bord
    • Généralités
      • Filtres avancés
      • Importer vos données (Excel, Csv)
      • Gestion des tags
      • Champs personnalisés
      • Assistant IA
      • Modèles email
      • 😇Foire aux questions
      • Discussions internes
    • Cartographie des données
      • Référentiels
    • Registre des traitements
      • Registre "Responsable de traitement"
      • Registre "Sous-traitant"
      • Etablissez votre registre
      • Exporter / importer le registre
      • Utiliser un modèle de traitement
      • Déclarer un traitement
      • Compléter un traitement
        • Général
        • Parties prenantes
        • Finalités
        • Actifs
        • Données et conservation
        • Personnes concernées
        • Droits des personnes
        • Destinataires
          • Transferts de données hors UE
        • Mesures de sécurité
        • Analyse d'impact
        • Documents
        • Récapitulatif
      • Créer des relations entre les traitements
      • Fraicheur des traitements
      • Partager le registre
      • Visualisation des données
        • Visualiser l'arborescence des traitements
        • Visualiser la cartographie des données du registre
        • Visualiser la carte des transferts
      • Questions fréquentes
    • Gestion de documents (GED)
      • Modèles de documents
    • Questionnaires et PIA
      • Créer ou modifier un modèle de questionnaire ou un PIA
        • Créer ou modifier un modèle de PIA
      • Planifier un questionnaire ou un PIA
      • Partager un rapport d'audit ou PIA
      • Supprimer un audit ou un modèle d'audit
      • Questions fréquentes
    • Privacy hubs
      • Créer un Privacy hub
      • Paramétrer votre Privacy hub
        • Page d'accueil et configuration générale
        • Questionnaires
        • Exercice des droits
        • Registre des traitements
        • Documents
        • Organigramme
        • Contacts
        • Sécurité
        • Apparence et design
      • Prévisualiser et partager votre Privacy hub
      • Collecter des projets de traitements, d'incidents, d'actifs ou de contrats
    • Contrats
      • Déclarer un contrat
      • Structure d'un contrat
      • Les documents
      • Les actifs
      • Les signataires
      • Utilisateurs associés
      • Signer le contrat
      • Intégration avec Docusign
      • Versionner le contrat
      • Revue régulière du contrat
      • Modèles de contrats dynamiques
    • Gestion des risques
      • Glossaire
      • Le processus de gestion des risques
        • 1. Identifier
        • 2. Evaluer
        • 3. Maîtriser
        • 4. Contrôler
        • Récapitulons
      • Comparaison Dastra / eBios RM
      • Associer un risque à un traitement
      • Questions fréquentes
    • Planification
      • Créez ou modifier une tâche
      • Créer ou modifier un projet ou une itération
      • Suivre, filtrer ou exporter les tâches
      • Personnaliser le workflow des tâches
      • Synchroniser avec d'autres calendriers
      • Questions fréquentes
    • Exercices des droits
      • Gestion des demandes d'exercices de droits
      • Formulaire de collecte de demandes
      • Intégration technique
      • Intégration de l'API
    • Violations de données
      • Documenter une nouvelle violation de données
      • Exportez vos violations de données
    • Cookies
      • Mise en place de la bannière
        • Etude préliminaire
        • Scannez les cookies déposés sur votre site Web
        • Classifiez les cookies par catégories de consentement
        • Les finalités des cookies
        • Configurez un widget de consentement aux cookies
        • Collectez les preuves de consentement cookies
        • Allez plus loin sur le consentement des cookies
        • En cas d'indisponibilité
      • Intégration technique
        • Fonctionnement de la bannière
        • Démarrage rapide
          • Wordpress
        • Gestion de la langue
        • Tester l'intégration d'un widget
        • Blocage des cookies
          • Blocage des iframes (twitter/youtube...)
          • Google Tag Manager
        • Design avancé
        • Gérer le consentement programmatiquement
        • Identification des utilisateurs
        • Applications mobiles
          • Applications hybrides
          • Applications natives
        • TCF 1.1/2.0
      • Conformité RGAA
      • Dépannage
    • Revue régulière (fraicheur)
    • Rapports personnalisés
      • Intégration dans les outils d'analyse de données (BI)
    • Systèmes d'IA
      • Etablir un registre des Systèmes d'IA
      • Analyse de risque et valeur ajoutée
      • Notice de transparence
      • Le référentiel des modèles d'IA
    • Configuration avancée
      • Rôles et permissions
      • Single Sign On (SSO)
        • SAML 2
        • OpenId
        • ADFS
        • Active Directory (MS Entra)
        • Okta
        • Problèmes connus
      • SCIM
      • Gestion des clés d'API
      • Notifications
      • Adresses emails de collecte
      • Intégrations OneDrive/Google Drive
      • Etapes de processus
      • Webhooks
      • Configuration du SMTP
      • Règles de workflows
      • Modèles de messages
      • Domaines emails
  • PARTENAIRES
    • Portail partenaire
  • 📄La documentation API
    • Liste des endpoints d'API
    • Cas d'usage de l'API
    • Configuration API
    • Authentification
    • API References
    • Intégrations via Zapier
      • Questions fréquentes
  • 🛡️La sécurité
    • Sécurité chez Dastra
    • Authentification forte
    • Qualité de nos services
  • Certifications
  • 🤖DIVERS
    • Foire aux questions
    • Problèmes connus
    • Notes de version
    • Webinaires
Propulsé par GitBook
Sur cette page
  • Introduction
  • Définitions
  • Comment mettre en œuvre la confidentialité dès la conception et par défaut ?
  • Pour aller plus loin

Cet article vous a-t-il été utile ?

  1. Rappels utiles
  2. Notions clefs du RGPD

Confidentialité dès la conception et par défaut

Découvrez ce que la confidentialité par conception et la confidentialité par défaut signifient et comment les appliquer dans Dastra.

Introduction

La confidentialité dès la conception ("privacy by design") et la confidentialité par défaut ("privacy by default") sont deux concepts clés dans la mise en œuvre de la protection des données personnelles, issus de l'article 25 du RGPD.

Le principe de protection des données dès la conception signifie que l’entreprise doit intégrer la protection des données à caractère personnel, dès la conception de projets rattachés au traitement des données d’une entreprise. L'objectif est alors de minimiser les risques d’un non-respect du traitement des données au RGPD, dès la conception d'un projet et par défaut.

Le principe de privacy by design s’applique lors de la conception d’un produit ou d’un service, ce qui nécessite de l’anticipation de la part des entreprises.

Toutefois, l’application de mesures protégeant les données personnelles ne s’arrête pas à la conception, et doit se dérouler tout au long du cycle de vie du traitement sur les données.

Définitions

Confidentialité dès la conception ("privacy by design")

Prise en compte des enjeux liés à la protection des données privées dès la conception du traitement. Empêcher en amont toute atteinte aux droits de la personne concernée.

Confidentialité par défaut ("privacy by default")

Les mesures de protection et de sécurité des données doivent être actives par défaut pour toute opération sur des données.

Minimisation des données personnelles

Traiter uniquement les données adéquates, pertinentes et nécessaires au regard des finalités pour lesquelles elles sont collectées.

Intégrité et confidentialité

Réglementer strictement l'accessibilité aux données personnelles via une autorisation d'accès à la politique et les mesures de sécurité ad hoc.

Limitation de la durée de conservation des données

Fournir dès le début du traitement un dispositif de purge des données à la date d'expiration de leur durée de conservation.

Comment mettre en œuvre la confidentialité dès la conception et par défaut ?

Afin de mettre en place le privacy by design, la protection des données personnelles doit être prise en compte à chaque étape du processus de création de nouveaux projets. Cela signifie que les entreprises doivent, a minima et ce avant la mise en production des projets :

  • Informer le DPO ou équivalent de l'existence de ces projets

  • Analyser les risques associés à la vie privée dans ces projets

  • Identifier et mettre en œuvre dans le projet les mesures intégrant la protection des données à caractère personnel

  • Documenter l'ensemble des éléments afin de constituer des preuves de respect des principes de privacy by design & by default.

Le principe de privacy by design est issu directement du principe d’accountability posé par le RGPD au sein de son article 5. En effet, les responsables de traitement ont l’obligation de :

  • s’interroger sur la conformité de leurs traitements des données avec le RGPD

  • être en mesure de prouver cette conformité

Ils sont donc tenus responsables du respect des règles imposées par le RGPD. C’est pourquoi, ils doivent mettre en œuvre et actualiser les mesures garantissant le respect du traitement des données personnelles.

Les principes de Privacy by Design peuvent être appliqués de différentes manières dans Dastra :

  • Créer des formulaires d'audit spécifiques permettant de collecter les informations nécessaires

  • Identifier et analyser les risques pour évaluer les mesures à mettre en œuvre afin de répondre aux enjeux

  • Identifier, assigner et faire le suivi des tâches de remédiation

  • Documenter le registre en indiquant dans les fiches de traitement les mesures mises en œuvre et ainsi constituer la piste d'audit

Pour aller plus loin

Dernière mise à jour il y a 3 ans

Cet article vous a-t-il été utile ?

🇪🇺
Questionnaires et PIA
Gestion des risques
Planification
Registre des traitements
Gestion des risques
Mesures de sécurité