Travailler avec des activités de traitement des données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Les agents de traitement des données peuvent utiliser les options du module Activité de traitement des données pour créer des cibles, les identifier en tant qu’activités de traitement des données et effectuer GDPR DPIA des évaluations des cibles afin de déterminer si les cibles présentent un risque élevé.

    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Créer une cible

    Dans le RGPD, une cible fait référence à l’association entre une entité et une activité de traitement de données.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Pourquoi et quand exécuter cette tâche

    Une évaluation cible s’exécute sur une cible pour déterminer s’il s’agit d’une activité de traitement de données. Si l’évaluation revient et que la cible est identifiée comme présentant un risque élevé, créez un risque DPIA pour exécuter une évaluation DPIA afin de déterminer comment le risque peut être atténué. Les cibles peuvent être créées manuellement ou vous pouvez les générer automatiquement en cochant la case Générer la cible sur le formulaire Entité ou le formulaire Type d’entité.

    Procédure

    1. Accédez à la Tous > RGDP DPIA > Activité de traitement des données > Créer une cible.
      Nouvelle cible
    2. Renseignez les champs nécessaires.
      Champ Description
      Nom Entrez le nom de la cible.
      Propriété de Sélectionnez le propriétaire de cette cible.
      Description Entrez une description qui décrit la cible.
      Actif Cochez cette case pour activer la cible.
      Entité Sélectionnez l’entité associée à cette cible. Une entité ne peut avoir qu’une seule cible associée.
      Cadre de travail Par défaut, ce champ est défini sur RGDP DPIA.
    3. Effectuez l'une des actions suivantes :
      • Pour enregistrer les données, cliquez sur Mettre à jour.
      • Pour identifier l’enregistrement cible en tant qu’activité de traitement de données, cliquez ici.
      • Pour modifier la liste des répondants de l’évaluation, cliquez sur l’onglet Évaluations préliminaires.
      • Pour effectuer une évaluation préliminaire sur la cible, cliquez sur Envoyer des évaluations.
      • Pour effectuer une évaluation DPIA sur la cible, cliquez sur Générer DPIA.

    Identifier une cible en tant qu’activité de traitement de données

    L’identification d’une cible en tant qu’activité de traitement des données est la première étape pour déterminer si une évaluation du traitement des données doit être effectuée sur la cible.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tous > RGDP DPIA > Activité de traitement des données > Toutes les cibles.
      Activité de traitement des données : toutes les cibles
    2. Sélectionnez l’enregistrement cible que vous souhaitez identifier en tant qu’activité de traitement de données.
    3. Cliquez sur Mettre à jour.
      Deux listes connexes apparaissent : RGDP DPIA et GDPR Preliminary Assessment.
      Liste connexe RGDP DPIA
    4. Dans l’onglet RGDP DPIA , cochez la case Activité de traitement des données .
    5. Renseignez les champs nécessaires.
      Champ Description
      État d'approbation Affiche l’état actuel du processus d’approbation.
      Objectif L’objectif de la cible. Incluez des informations telles que l’endroit où l’activité est applicable.
      Nécessité et proportionnalité Une évaluation de la nécessité et de la proportionnalité de la cible par rapport à son objectif.
      Mesures connues Mesures pour faire face au risque, y compris les sauvegardes, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles.
      Critères d'évaluation Cliquez sur l’icône de verrouillage et sélectionnez les critères à prendre en compte pour évaluer si la cible entraîne probablement un risque élevé. Les critères sont les suivants :
      • Évaluation ou notation
      • Prise de décision automatisée ayant un effet juridique ou similaire significatif
      • Surveillance systématique
      • Données sensibles ou de nature très personnelle
      • Données traitées à grande échelle
      • Ensemble de données de mise en correspondance ou de combinaison
      • Données concernant des personnes concernées vulnérables
      • Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles
      • Empêcher les personnes concernées d'exercer un droit ou d'utiliser un service ou un contrat
      Utilise-t-il l’AIPD existante ? Cochez cette case si la cible utilise une AIPD préexistante, puis cliquez sur l’icône de verrouillage et sélectionnez les AIPD associés à cette cible dans la liste.
      Le délégué au traitement des données est-il conseillé ? Cochez cette case si la cible nécessite l’approbation d’un responsable du traitement des données, puis cliquez sur l’icône de verrouillage et sélectionnez le responsable du traitement des données approprié dans la liste.
      Utilise un code de conduite approuvé ? Cochez cette case si la cible doit être conforme à un code de conduite lors de l’accès à son impact, puis saisissez le nom du code de conduite dans la zone de texte.
      Recherche-t-il les vues de la personne concernée ? Cochez cette case si la cible exige que les vues des personnes concernées ou de leurs représentants soient examinées, puis saisissez les vues de la personne concernée dans la zone de texte.
      Existait-il avant le RGPD ? Cochez cette case si la cible existait avant la création du RGPD.
      Remarque :
      L’obligation d’effectuer l’AIPD s’applique à toutes les activités de traitement de données existantes qui sont susceptibles d’entraîner un risque élevé pour les droits et libertés des personnes physiques pour lesquelles il y a eu une modification des risques.
      Est à haut risque ? Cochez cette case : il s’agit d’une cible à haut risque.
      Remarque :
      Même s’il n’y a pas d’indications d’un risque élevé probable, envisagez d’effectuer une évaluation DPIA pour toute activité majeure de traitement de données impliquant l’utilisation de données personnelles.
      Remarque :
      Deux options s’offrent à vous pour remplir les champs de l’onglet RGDP DPIA . Vous pouvez les remplir manuellement vous-même comme décrit ci-dessus, ou si vous ne connaissez pas les réponses aux questions, vous pouvez générer une évaluation pour quelqu’un d’autre qui les connaît, puis copier ses réponses de l’évaluation vers le formulaire cible comme décrit ci-dessous.
    6. Pour générer une évaluation pour un autre utilisateur, effectuez les étapes suivantes.
      1. Cliquez sur l’onglet Évaluation préliminaire du RGPD .
      2. Dans le champ Personnes chargées de répondre sur l’évaluation , cliquez sur l’icône de verrou et sélectionnez l’utilisateur avec qui vous souhaitez faire remplir le formulaire.
      3. Lorsque vous avez sélectionné le répondeur, cliquez à nouveau sur l’icône de verrouillage.
      4. Cliquez sur Envoyer les évaluations.

        Une fois que l’utilisateur sélectionné a passé l’évaluation, un bouton Copier les réponses à l’évaluation apparaît.

        Bouton Copier la réponse à l’évaluation
      5. Cliquez sur Copier les réponses d’évaluation.

        L’enregistrement d’évaluation terminé s’affiche.

        Copier l’évaluation sur la cible
      6. Vous pouvez cliquer sur Afficher la réponse pour afficher les réponses de l’évaluation.
      7. Sélectionnez l’enregistrement et cliquez sur Copier.
        Les réponses fournies par la personne interrogée sélectionnée sont copiées dans l’AIPD RGPD.
    7. Une fois les champs remplis, effectuez l’une des actions suivantes :
      • Pour enregistrer les données, cliquez sur Mettre à jour.
      • Pour modifier la liste des répondants de l’évaluation, cliquez sur l’onglet Évaluations préliminaires .
      • Pour effectuer une évaluation préliminaire sur la cible, cliquez sur Envoyer des évaluations.
      • Pour générer un risque DPIA et lancer une évaluation DPIA sur la cible, cliquez sur Générer DPIA.
      • Si vous avez coché la case Est conseillé par le responsable du traitement des données ? et que vous avez sélectionné un approbateur, un bouton Demander l’approbation du DPO s’affiche. Cliquez sur ce bouton pour demander l’approbation de l’approbateur sélectionné. Tous les champs de l’onglet RGDP DPIA passent en lecture seule. Si une modification supplémentaire est nécessaire, vous pouvez cliquer sur Réinitialiser l’approbation.

    Envoyer une évaluation préliminaire pour une cible

    Vous pouvez lancer une évaluation préliminaire d’une cible afin de déterminer si elle est considérée comme une opération à haut risque et de décider des procédures d’atténuation nécessaires. Une fois l’évaluation préliminaire lancée, les personnes chargées de répondre à l’évaluation sélectionnées peuvent la réaliser.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tous > RGDP DPIA > Activité de traitement des données > Toutes les cibles.
      Toutes les cibles
    2. Ouvrez l’enregistrement cible pour lequel vous souhaitez effectuer une évaluation préliminaire.
      Cadre de travail
    3. Assurez-vous que le champ Cadre de travail affiche RGDP DPIA.
    4. Cliquez sur l’onglet Évaluation préliminaire du RGPD .
      Évaluation préliminaire du RGPD
    5. Assurez-vous que le champ Évaluations affiche l’évaluation des cibles DPIA RGPD.
    6. Dans le champ Personnes chargées de répondre sur l’évaluation , cliquez sur l’icône de verrouillage et sélectionnez les utilisateurs que vous souhaitez soumettre à l’évaluation préliminaire pour la cible.
    7. Lorsque vous avez sélectionné les répondants, cliquez à nouveau sur l’icône de verrouillage.
    8. Cliquez sur Envoyer les évaluations.
      Les évaluations sont envoyées aux personnes chargées de répondre sélectionnées et un message affiche le nombre d’évaluations créées. En outre, l’onglet Évaluations affiche les enregistrements d’évaluation.
      Onglet Évaluations
    9. Pour demander l’approbation du responsable du traitement des données, cliquez sur le lien connexe Demander l’approbation du DPD.
    10. Une fois que les personnes chargées de répondre ont répondu, vous pouvez afficher leurs réponses en cliquant sur Afficher les réponses dans l’onglet Évaluations .

    Effectuer une évaluation préliminaire

    Lorsque vous avez été désigné comme répondant d’une évaluation préliminaire, vous devez accéder à l’évaluation et la passer.

    Avant de commencer

    Rôle requis : aucun
    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tous > RGDP DPIA > Activité de traitement des données > Mes évaluations préliminaires.
      Toutes les évaluations pour lesquelles vous êtes une personne chargée de répondre demandée s’affichent.
      Mes évaluations
    2. Ouvrez l’évaluation que vous souhaitez passer.
      Réalisation d’une évaluation

      Les champs sont décrits ici.

      Champ Description
      Numéro Numéro d’enregistrement généré automatiquement.
      Type de mesure Type de mesure de cette évaluation.
      Date d'échéance Date à laquelle l’évaluation doit être terminée. Le système renseigne la date d’échéance à partir de la valeur du champ Durée d’évaluation du type de mesure. Le système génère des notifications par e-mail associées à la date d’échéance.
      Remarque :
      Par défaut, le système exécute le Cancel Expired Assessments script tous les 30 jours pour annuler les instances d’enquête, d’évaluation et de questionnaire expirées dont l’état est défini sur Travail en cours ou Prêt à prendre .
      Date d'expiration Date à laquelle l’utilisateur affecté peut répéter l’évaluation.
      État État de l'évaluation.
      Affecté à Utilisateur auquel cette évaluation est affectée. Ce champ passe en lecture seule lorsque l’état est En cours, Terminé ou Annulé.
      Résultat de la signature Vérification fournie par le destinataire lorsqu’une signature est requise. Cette valeur est soit le nom complet du destinataire dans la table Utilisateur [sys_user], soit cochée, indiquant que le destinataire a confirmé avoir lu l’assertion en cochant une case.
    3. Cliquez sur Passer l’évaluation.
      Questions d’évaluation
    4. Répondez aux questions du mieux que vous pouvez, puis cliquez sur Soumettre.

    Voir toutes les évaluations préliminaires

    Les responsables de la gestion des risques et les responsables du traitement des données peuvent consulter les réponses de chaque candidat à l’évaluation.

    Avant de commencer

    Rôle requis : sn_irm_gdpr_dpia.risk_executive ou sn_irm_gdpr_dpia.data_processing_officer
    Remarque :
    À partir de la version Rome, GRC : RGPD DPIA Accelerator ne sera plus disponible. Ce module d’extension sera masqué et ne sera plus activé sur les nouvelles instances, mais continuera d’être pris en charge. Pour en savoir plus, consultez l'article Processus de retrait [KB0867184] dans la base de connaissances Now Support.

    Procédure

    1. Accédez à la Tous > RGDP DPIA > Activité de traitement des données > Toutes les évaluations préliminaires.
      Toutes les évaluations préliminaires
    2. Cliquez sur le numéro de l’évaluation que vous souhaitez examiner.
      Afficher le lien de réponse de l’utilisateur
    3. Cliquez sur le lien connexe Afficher la réponse de l’utilisateur .