Questionnaire de pré-évaluation à la GDPR

Ce questionnaire a été développé en partenariat avec :
tecksaas

,

et

Information Société

Nom de la Société *

Nom du Dirigeant

Nombre d'agences / d'établissements *

Date du questionnaire

Complété par

Email *

INTRODUCTION

Question 1

Votre société traite-elle de données à caractère personnel pour des individus se trouvant dans la communauté Européenne?

OUI

NON

COLLECTE DE DONNEES

Question 2

Quels types de données personnelles collectez vous?

Données d'identification :

OUI

NON

Données sur la vie privée (habitudes de vie, situation familiale...) :

OUI

NON

Données sur la vie professionnelle :

OUI

NON

Données de connexion :

OUI

NON

Données de localisation :

OUI

NON

Question 3

Votre société, gère-t-elle également les dites “autres catégories de données” conformément à l’article 9 EU règlement général sur la protection des données ?

Données concernant la santé incluant le numéro de Sécurité sociale :

OUI

NON

Données relatives à des condamnations pénales ou infractions :

OUI

NON

Données relatives aux convictions religieuses ou philosophiques :

OUI

NON

Données génétiques :

OUI

NON

Données biométriques aux fins d'identifier une personne physique de manière unique :

OUI

NON

Données concernant la vie sexuelle ou l'orientation sexuelle :

OUI

NON

Données relatives à l'origine raciale ou ethnique :

OUI

NON

Données relatives à l'appartenance syndicale :

OUI

NON

GOUVERNANCE

Question 4

Avez-vous au sein de votre société un responsable pour la protection des données ?

OUI

NON

Question 5

Si oui, quelle est sa position hiérarchique ?

DIRECTEUR

RESPONSABLE

AUTRE

Question 6

Quelles sont ses fonctions / tâches ? Décrire en détail.

Question 7

Si vous n’avez pas de Responsable pour la Protection des données, pensez-vous en nommer un(e)? avant le 25 Mai 2018?

OUI

NON

Question 8

Maintenez-vous un registre pour le traitement des données dans un format facilement consultable (éventuellement même pour le compte d’un tiers)?

OUI

NON

Si Oui, IGA ou autres?

Question 9

Si oui, quelle est la fréquence de contrôle et de mise à jour de ce registre?

JOURNALIERE

HEBDOMADAIRE

BIMENSUELLE

MENSUELLE

SAUVEGARDE ET ARCHIVAGE DES DONNEES

Question 10a

Comment les données personnelles sont-elles sauvegardées ou archivées ?

SAUVEGARDES INFORMATIQUES

ARCHIVES MANUELLES

APPAREILS PERSONNELS

AUTRE

Question 10b

Détailler les bases de données / archives qui contiennent les données personnelles :

Question 11

Est-ce que les données sont sauvegardées sur réseau?

OUI

NON

Si oui, veuillez :
a) spécifier le réseau (réseau d’entreprise, « cloud », ou de tiers) :
b) indiquer le nom du fournisseur, en détaillant où et comment les données sont enregistrées.

Question 12a

Pour les données archivées sur support (magnétique ou papier) sont-elles détenues par votre société?

OUI

NON

Question 12b

Pour les données archivées sur support (magnétique ou papier) sont-elles détenues par un tiers / des tiers?

OUI

NON

Si c’est par un tiers, indiquez où et comment sont archivées les données :

Question 13a

Les “autres catégories de données” traitées éventuellement par votre société, sont-elles archivées de manières différentes que vos données personnelles, soumises à un classement distinct, des règles particulières de sécurité ou de restrictions de traitement ?

OUI

NON

Question 13b

Les “autres catégories de données” traitées éventuellement par votre société, sont-elles archivées/ traitées de la même manière que vos données personnelles ?

OUI

NON

Question 14

Sous quel(s) format(s) les informations sont-elles saisies et archivées?

PAPIER

COPIE ÉLECTRONIQUE

SECURITE

Question 15

Décrivez succinctement les mesures en place dans votre société, informatisées et non-informatisées, pour garantir la sécurité des données traitées :

Question 16a

Qui a accès aux données personnelles au sein de votre société ?

Question 16b

Qui a accès aux données personnelles à l'extérieur de votre société ?

Question 17

Qui autorise les accès, particulièrement en ce qui concerne les traitements effectués par des tiers. Cette personne a-t-elle les compétences nécessaires pour évaluer les risques liés à ces opérations ?

Question 18

Existe-il des procédures pour identifier et gérer d’éventuelles violations de données (perte, vol ou altérations, etc.) ?

OUI

NON

Si oui, quelles sont-elles?

Question 19

Existe-il des procédures pour notifier à des individus d’éventuelles violations de leurs données ?

OUI

NON

Si oui, merci d’expliquer la procédure.

DESTRUCTION DES DONNEES

Question 20

Comment sont détruites les données à caractère personnel, une fois la période de conservation révolue ?

Question 21a

Qui autorise la destruction ?

Question 21b

Qui exécute ?

Question 21c

Si les destructions sont effectuées par des tiers, l’activité est-elle régie par contrat ?

OUI

NON

Question 21d

Des contrôles sont-ils effectués ?

OUI

NON

Si oui, décrivez les

Question 22a

En tant qu’exécutant des traitements, sur une base contractuelle avec le responsable, votre société est-elle en charge de la destruction des données ?

OUI

NON

Question 22b

Si oui, est-ce que des instructions sont clairement données ?

OUI

NON

Question 22c

Et en particulier pour la période suivant la fin du contrat ?

OUI

NON

SOUS TRAITANCE

Question 23

Quelles activités sont exécutées par des tiers en qualité de Responsables du traitement pour le compte de votre société ? Répertorier et décrire la typologie des données, les sites et les traitements effectués.

Question 24a

Qui autorise l’externalisation de l’activité des traitements susnommés?

DIRECTEUR

RESPONSABLE RESSOURCES HUMAINES

AUTRES

Question 24b

Existe-t-il des accords écrits pour chacun des traitements externalisés ?

OUI

NON

Question 25

Veuillez décrire les mesures de sécurité qui régissent les activités du responsable des traitements de données pour le compte de votre société ?

Question 26

Est-ce que les responsables des traitements utilisent à leur tour des sous-traitants (tiers) ?

OUI

NON

Si oui, lister les accords écrits à propos des services offerts par ces sous- traitants (tiers) :

TRANSFERT DE DONNEES PERSONNELLES

Question 27

Comment sont transférées les données que ce soit à l’intérieur ou à l’extérieur de la société ?

E-mail cryptés

Lignes sécurisés

Autres

Question 28

Dans quels pays se trouvent les destinataires des données transmises (qu’il s’agisse de l’interne ou de l’externe de la société) ?

Question 29

Si des données sont transférées en dehors de l’union Européenne, existe-t-il un processus pour s’assurer que le traitement qui sera effectué, garantira un niveau de protection au minimum identique à celui de l’union Européenne ou reconnu comme tel ?

OUI

NON

FORMATION

Question 30

Le personnel de votre société participe-t-il à une formation sur la protection des données à caractère privé ainsi que sur les lois attenantes au sujet ?

OUI

NON

Si oui, décrire le contenu de la formation, la durée et le responsable de la formation :

Question 31

Effectuez-vous des cours de mise à jour ?

OUI

NON

Si oui, décrire le contenu de la formation, la durée et le responsable de la formation ainsi que le personnel impliqué.

Question 32

Le personnel est-il au fait que l’accès non-autorisé, ou la révélation, de données personnelles est contraire à la loi ?

OUI

NON

Question 33

Les organisations suivantes ont participé à des sessions d’information sur la GDPR ?

Le conseil d'administration :

OUI

NON

La Direction :

OUI

NON

Le Département IT et Sécurité :

OUI

NON

Autre type de personnel :

OUI

NON

Remarques

Captcha *

reCAPTCHA is required.