Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Syndicat mixte pour la Modernisation numérique et l’Ingénierie informatique des Collectivités et établissements publics Adhérents - www.smica.fr
10 Rue du faubourg Lo Barri - Immeuble Le Sérial - 12000 RODEZ - tél 05 65 67 85 90 - courriel : [email protected]
Manuel d’utilisation
1
SOMMAIRE
A. Présentation générale de Madis ............................................................................. 2
B. Se connecter à Madis ............................................................................................. 2
C. Présentation de la page d’accueil .......................................................................... 3
C.1. Tableau de bord ..................................................................................................... 3
C.2. Présentation du menu ............................................................................................ 4
C.2.1. Paramétrage : ma collectivité ........................................................................... 5
C.2.2. Mon compte utilisateur ................................................................................... 6
D. Les registres ............................................................................................................ 7
D.1. Le registre des traitements ................................................................................. 7
Zoom sur la création d’un nouveau traitement ...................................................... 8
D.2. Le registre des sous-traitants ........................................................................... 12
D.3. Les demandes de personnes concernées ......................................................... 13
D.3.1. Créer une nouvelle demande ...................................................................... 13
D.4. Le registre des violations de données ............................................................... 15
Zoom – Comment renseigner le registre des violations de données ..................... 16
E. Les actions de protection ..................................................................................... 18
E.1. Modifier une action de protection .................................................................. 19
E.2. Créer une action de protection ....................................................................... 19
F. Plan d’actions ....................................................................................................... 20
G. Indice de maturité ................................................................................................ 20
H. Générer un bilan ................................................................................................... 24
I. Gestion de la preuve ............................................................................................ 24
Zoom – Rattacher une preuve à un traitement, sous-traitant, etc. ..................... 25
Annexe. Lexique RGPD .............................................................................................. 27
2
A. Présentation générale de MADIS
Madis est un logiciel conçu pour accompagner les collectivités à la
mise en oeuvre de leur conformité au RGPD.
Cette notice pourra évoluer en fonction des évolutions règlementaires et
des besoins des collectivités.
B. Se connecter à MADIS
L’application métier MADIS est disponible à l’adresse suivante : rgpd.smica.fr
Pour vous connecter, vous devez avoir un compte Utilisateur. Celui-ci est
attaché à votre adresse mail.
Lors de votre première connexion, vous devrez créer votre mot de passe.
Pour cela, nous vous invitons à cliquer sur “Mot de passe oublié”, puis à renseigner l’adresse mail rattachée à votre compte utilisateur.
Un lien vous sera envoyé par mail. En cliquant sur le lien, vous pourrez créer
votre mot de mot de passe.
En cas d’oubli de mot de passe, cliquez ici. Vous devez changer votre nouveau mot de passe en respectant les règles de sécurité
suivantes : 14 caractères, une lettre majuscule/minuscule minimum, au moins un chiffre et un caractère spécial.
3
C. Présentation de la page d’accueil
Une fois connecté, différents modules vous permettent d’effectuer
la saisie des registres, de documenter votre mise en conformité et de piloter sa
mise en oeuvre.
C.1 Tableau de bord
La fenêtre principale vous permet de visualiser en un coup d’oeil l’état
d’avancement de votre mise en conformité.
Les légendes sont affichées en survol de la souris
4
C.2 Présentation du menu
Ici, les quatre registres à renseigner, puis tenir à jour. En premier lieu, nous vous invitons à vous
concentrer sur l’élaboration du registre des traitements.
Insérez ici les justificatifs permettant de documenter la conformité (Contrat d’accompagnement
délégation à la protection des données, attestations de présences, politique de gestion des
données, etc.)
Une liste de 42 actions de protection triées par thématiques (du n°1 ou n°6) vous est proposée.
Ici, vous retrouverez, dans le « Plan d’actions », les
actions de protection que vous aurez planifiées.
Vous pourrez également générer un indice de
maturité, et un bilan de votre mise en conformité.
Ci-après les explications (p.5)
5
C.2.1 Paramétrage : ma collectivité
Vous pouvez visualiser les données de votre collectivité. Vous n’avez pas la
possibilité de modifier les informations générales et l’adresse. En cas de
rectification souhaitée, merci de faire votre demande à l’adresse suivante :
Vous avez la possibilité de modifier les différents acteurs de votre mise en
conformité (référent opérationnel, responsable informatique, éventuellement
responsable de traitement).
Responsable de
traitement :
personne qui
détermine les
moyens et finalités
d’un traitement –
Représentant légal
de la collectivité
Référent opérationnel : personne qui tient à jour les registres
Par défaut, la cellule DPD du SMICA est indiquée comme étant votre DPD.
6
C.2.2 Mon compte utilisateur
Votre compte utilisateur vous permet de vous identifier (nom, prénom, adresse mail).
Vous pouvez y accéder en cliquant sur « mon compte » et le modifier au besoin.
Affichage des droits
Rappel : En cas d’oubli de
votre mot de passe,
vous avez la possibilité de la
réinitialiser en cliquant ici
7
D. Les registres
D.1 Le registre des traitements
Le registre des traitements permet de recenser l’ensemble des traitements de
données à caractère personnel de votre collectivité.
Lorsque vous cliquez sur “Traitements”, la fenêtre ci-dessous s’ouvre. Il
est possible, ici, de consulter ou de créer des traitements de données.
Si une liste de traitements est prédéfinie, pensez à désactiver les traitements
non effectués au sein de votre collectivité, et à vérifier/adapter les fiches de
traitement.
8
Zoom sur la création d’un nouveau traitement :
Lorsque vous cliquez sur “Nouveau traitement”, la fenêtre ci-dessous s’affiche.
Pour compléter votre fiche de traitement, vous devrez remplir les différentes rubriques, en vous basant sur la méthodologie présentée lors de l’atelier sur le registre des traitements (finalités du traitement, personnes concernées, catégories de données collectées, destinataires des données, durées de conservation).
Les champs précédés d’un * sont obligatoires.
9
Voici un exemple d’ « informations générales » préremplies :
Indiquez ici l’intitulé précis du traitement
Décrivez la ou les finalité(s), les objectifs du traitement de données
Personne(s) ou service qui gère
le traitement. Peut être different du responsable de traitement ou du
référent opérationnel.
Le statut “Actif” est coché par défaut.
Pensez à désactiver les traitements qui ne sont pas mis en oeuvre au
sein de votre collectivité.
Vous devez indiquer ici la base légale du traitement, c’est-à-dire ce qui
autorise légalement sa mise en œuvre, le « fondement juridique » du
traitement.
Six bases légales sont prévues par le RGPD : l’obligation légale,
l’exécution d’un contrat, le consentement, l’exécution d’une
mission d’intérêt public, la sauvegarde des intérêts vitaux, l’intérêt légitime.
Vous pouvez renseigner ici toutes observations sur le traitement, qui vous semblent nécessaires (ex. le
texte qui définit la durée de
conservation, etc.)
10
Les catégories de données :
Vous devez préciser ici toutes les catégories de données concernées par le
traitement :
Rappel du détail des catégories de données
Données d’identification, état civil : nom, prénom, adresse, téléphone, mail, date et lieu de naissance…
Vie personnelle : habitude de vie, situation familiale
Vie pro CV : situation professionnelle, scolarité, formation
Informations économiques et financières, revenus, données bancaires…
Données de connexion : adresse IP, logs, identifiants de connexion
Données de localisation : déplacement, données GPS, GSM
Données internet : cookies, données de navigation, mesures d’audience
Les données sensibles (origine raciale ou ethnique, appartenance syndicale, opinions politiques, philosophiques ou religieuses, santé ou orientation sexuelle, génétiques ou biométriques)
Pour sélectionner plusieurs catégories de données, cliquer sur la/les catégorie(s) souhaitée(s) en maintenant la
la touche Ctrl.
Personnes concernées, conservation
Vous pouvez ici :
- Sélectionner les personnes concernées
- Le(s) logiciel(s) utilisé(s)
- Indiquer s’il y a un traitement papier
- Préciser le délai de conservation
Rappel : Le délai de conservation doit pouvoir s’appuyer sur une justification (base légale , par exemple). Si vous ne pouvez pas indiquer
une durée chiffrée, préciser les critères utilisés pour déterminer le délai de conservation (ex : 3 ans à compter de la fin de la relation
contractuelle).
11
Les destinataires
Indiquez ici les destinataires des données à
caractère personnel (service, organisation
extérieure, partenaires etc.)
Apparaissent ici tous les sous -traitants
identifiés dans le registre des sous- traitants.
Pour sélectionner le(s) sous- traitant(s)
rattaché(s) à ce traitement, veuillez le(s)
sélectionner à l’aide la touche Ctrl (sur ordinateur).
Les mesures de sécurité renseignées ici sont propres à chaque traitement.
Ex. Accès via login/ mot de passe ou certification, gestion des habilitations, badges, etc.
Ex. Journalisation des accès utilisateurs, données enregistrées (identifiants, date et heure de connexion, actions)
Préciser ici le type de sauvegarde (support, interne/externe, fréquence…)
Mise à jour des logiciels, de l’environnement, contrat de mise à jour, etc.
Préciser toute autre mesure que vous souhaitez documenter (chiffrement, etc.)
Indiquez si des personnes habilitées figurent parmi les destinataires.
Un ou plusieurs traitement(s) spécifique(s) va/vont peut être conditionner une analyse d’impact, notamment s‘ils sont croisés avec des données sensibles.
Surveillance systématique de personnes (ex : vidéosurveillance)
Ex : qui visent à traiter un volume considérable de données à caractère personnel
(au niveau régional)
Personnes âgées, enfants de moins de 15 ans, personne en situation de
handicap, patients, employés…
Croisement ou combinaison d’ensemble de données
12
D.2. Le registre des sous-traitants
Un sous-traitant est une personne, physique ou morale, un organisme,
une entreprise qui traite de données à caractère personnel pour le
compte, sur instruction et sous l’autorité du responsable de traitement.
Le registre des sous-traitants vise à recenser les sous-traitants de votre
collectivité et à effectuer le suivi de leur conformité au RGPD (clauses
contractuelles vérifiées, conforme au RGPD).
Lorsque vous cliquez sur “Sous-traitants”, la fenêtre ci-dessous s’ouvre.
Vous visualisez ainsi l’ensemble des sous-traitants recensés dans votre
collectivité.
Vous pouvez modifier ou créer un nouveau sous-traitant comme ci-dessous :
Les clauses contractuelles (obligatoires) sont-elles vérifiées ? Si oui, cochez la case.
Le sous-traitant est-il conforme au RGPD ? Si oui, cochez la case.
Vous retrouverez sur votre tableau de bord, l’état d’avancement du suivi de
conformité de vos sous-traitants.
Pour voir apparaître vos sous-traitants dans la rubrique « Destinataires » de vos fiches de
traitement, ils devront avoir été recensés dans le registre des sous-traitants en premier lieu.
13
D.3. Les demandes de personnes concernées
Lorsque vous cliquez sur “Demandes”, la fenêtre ci-dessous s’ouvre.
D.3.1. Créer une nouvelle demande
A chaque nouvelle demande (droit d’accès, d’opposition, etc.), celle-ci doit être enregistrée dans
“nouvelle demande”.
Lorsque la réponse est délivrée, vous devez retourner dans la demande,
« modifier » et enregistrer la réponse apportée, les moyens de réponse et
la date de réponse.
Rappel : La réponse doit être délivrée dans un délai maximum de 1 mois.
14
Précisez le type de demande formulée
Renseignez ici la date à laquelle la demande a
été enregistrée par la collectivité
Ai-je toutes les informations me permettant
de traiter la demande ?
La personne concernée est la personne qui
fait la demande ou est le tuteur dument
habilité à faire la demande
La demande repose sur une base
légale. Elle est pertinente et
proportionnée.
Le tableau de bord affiche les demandes saisies dans ce registre (non traitées).
Vous pouvez ainsi suivre les demandes recensées et restant à traiter sur la page
d’accueil en un coup d’œil.
15
D.4. Les registres de violations de données
Un incident de sécurité, d’origine malveillante ou non, intentionnel ou non,
et qui risque de compromettre l’intégrité, la confidentialité ou la disponibilité
de données personnelles est une violation de données.
La première fenêtre affiche la liste des violations recensées dans votre
collectivité.
Rappel : chaque violation de données doit être être inscrite dans le registre des violations.
Pour enregistrer une nouvelle violation, veuillez suivre les étapes ci-dessous :
16
Zoom – Comment renseigner le registre des violations de données
Lorsque vous créez une “nouvelle violation”, il vous sera demandé de renseigner des informations sur la violation et sur les conséquences potentielles de cette violation pour les personnes concernées.
La date renseignée est celle de la violation de
données.
Indiquez la nature de la violation.
Indiquez l’origine de la violation de données
parmi la liste déroulante.
Indiquez la cause de la violation de données.
Précisez les catégories de données concernées
par la violation.
Précisez les catégories de personnes concernées
par la violation.
Indiquez ici le nombre approximatif
d’enregistrements et de
personnes concernées
par la violation.
17
Listez les impacts potentiels de la violation
pour les personnes concernées.
Dans certains cas, les
personnes concernées doivent être informées
de la violation.
Indiquez ici si les personnes ont été
informées, ou non. Vous
pouvez apporter des précisions sur la manière dont la communication a
été effectuée (ex. Courier, mail, etc.)
Indiquez ici la nature
des mesures de sécurité mises en oeuvre suite à
la violation.
Précisez ici si la violation doit faire l’objet
d’une notification, et si oui de quel type.
18
E. Les actions de protection
Les actions de protection sont les mesures techniques, organisationnelles,
juridiques, etc. permettant de garantir la sécurité et la confidentialité des
données.
Vous trouverez une liste de propositions d’actions de protection, classées par
thématiques :
1- Technique
2- Vie privée
3- Violation de données
4- Organisation
5- Juridique
6- Sensibilisation/formation
Cette liste, non-exhaustive, a été créée pour vous aider dans votre recensement.
Vous pouvez modifier les actions en fonction de votre propre organisation,
ajouter les mesures déjà mises en place dans votre collectivité et qui n’auraient
pas été identifiées ici…
19
E.1 Modifier une action de protection
Lorsqu’une action de protection est non appliquée, vous pouvez la modifier
pour indiquer qu’elle est déjà appliquée au sein de la collectivité.
Vous pouvez également planifier des actions de protection. Une fois l’action
réalisée, vous pourrez changer le statut de « non appliquée » à « appliquée
».
Seules les actions « non appliquées », et pour lesquelles vous avez
programmé une date, apparaîtront dans le plan d’actions.
E.2. Créer une action de protection
Si une action de protection n’existe pas dans la liste préétablie, vous pouvez l’ajouter
en cliquant sur « Créer une action de protection ».
20
F. Plan d’actions
Le plan d’action reflète les décisions prises dans le but d’améliorer sa mise en
conformité au RGPD. Il permet de planifier, budgétiser et évaluer les charges en
jour/homme par exemple.
Pour planifier les actions de protection, cliquer dans .
Indiquer la date prévisionnelle des actions que vous choisissez de planifier, et
éventuellement le coût et la charge (temps passé pour effectuer l’action).
Lorsque vous cliquez dans « Plan d’actions », vous pouvez visualiser la liste des
actions que vous avez planifiées.
Astuce : vous avez la possibilité de trier les actions par date/coût/charge, etc…
G. Indice de maturité
L’indice de maturité est une suite de 42 questions, classées par thématiques,
qui se traduit par un « radar » qui vous permet de suivre l’évolution de votre
mise en conformité.
Outil d’aide à la décision, il permet ainsi de mettre en exergue les thèmes
prioritaires à développer. Il est votre repère pour vous aiguiller dans
l’élaboration de votre plan d’actions.
21
Dans la liste des indices de maturité, vous retrouvez l’historique des indices
effectués dans votre collectivité. Cela permet d’évaluer votre progression.
A chaque nouvel indice, vous devez répondre à l’ensemble des 42 questions
proposées. Attention, si vous n’êtes pas certain de la réponse, veuillez cocher
“Je ne sais pas”.
Figure 1. Critères Indice de maturité – Technique – Vie privée
22
Figure 2. Critères Indice de maturité – Violation de données – Organisation
Figure 3. Critères Indice de maturité – Juridique – Sensibilisation/Formation
23
Lorsque vous avez répondu aux 42 questions, et que vous avez validé vos
réponses, un nouvel indice de maturité est généré.
Vous retrouvez le schéma du « radar » avec le nouvel indice (bleu) et l’indice
N-1 (rose). Ce schéma est visible sur la page d’accueil de votre compte Madis,
et également dans le bilan.
24
H. Générer un bilan
Au minimum une fois par an, nous vous conseillons de générer un bilan. Ce
dernier synthétise l’ensemble des éléments renseignés dans Madis, du
recensement des traitements aux actions de protection en place et à mettre
en oeuvre…
Pour le générer, cliquez dans le menu sur “Générer un bilan”.
Le fichier du bilan est généré sous Word afin que
vous puissiez ajouter vos logos et le
personnaliser.
I. Gestion de la preuve
Afin de prouver votre conformité, vous devez constituer un dossier
documentaire.
Dans la rubrique “Documents”, vous pouvez ajouter l’ensemble des preuves
vous permettant de démontrer le respect de vos obligations en tant que
responsable de traitement…
Pour créer une preuve, cliquez sur “Ajouter une preuve”, renseignez les différentes rubriques (nom, type de preuve) et télécharger votre document.
La taille du fichier est volontairement limitée à 4 Mo.
25
Zoom – Rattacher une preuve à un traitement, sous-traitant,…
Vous avez la possibilité d’associer des preuves à d’autres éléments de MADIS (traitements, sous-traitants, actions de protection, demandes de personnes concernées, violation). Lors de la création (ou de la modification) de la preuve, il suffit de sélectionner les éléments auxquels vous souhaitez rattacher le document, dans l’onglet “Association”. Pour sélectionner plusieurs éléments, maintenez la touche Ctrl. Ex. Vous créez une preuve “Contrat d’accompagnement à la protection des données-SMICA”. Ce document prouve le respect de votre obligation de désigner un DPD. Vous pourrez alors associer ce document à l’action de protection “Désigner un DPD pour la collectivité”.
Il est ensuite possible d’accéder aux preuves directement depuis la fiche de l’élément dans la rubrique “Documents associés”.
26
Cellule Délégué à la Protection des Données
10, rue du Faubourg Lo Barri 12 000 RODEZ
[email protected] 05-65-67-85-90
27
LEXIQUE RGPD
Données personnelles Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Les données personnelles comprennent, entre autres, les noms, prénoms, numéros de téléphone, plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou courriel, la voix ou l’image. Par contre, des coordonnées d’entreprises (par exemple, l’entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « [email protected] ») ne sont pas, en principe, des données personnelles.
Traitement de données personnelles Toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction...)
Finalité du traitement La finalité du traitement est l’objectif poursuivi par le traitement. Les données sont collectées pour un but déterminé et légitime et ne sont pas traitées ultérieurement de façon incompatible avec cet objectif initial. Ce principe de finalité limite la manière dont le responsable de traitement peut utiliser ou réutiliser ces données dans le futur.
Responsable de traitement Le responsable de traitement est la personne morale (commune, intercommunalité, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser.
Minimisation Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Sous-traitant Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (le responsable de traitement), dans le cadre d’un service ou d’une prestation. Les sous-traitants ont des obligations concernant les données personnelles, qui doivent être présentes dans le contrat.
Données sensibles Les données sensibles forment une catégorie particulière des données personnelles. Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique,
28
des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le RGPD interdit de recueillir ou d’utiliser ces données, sauf dans certains cas qui sont précisément listés.
Registre des activités de traitement Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que le responsable de traitement fait avec les données personnelles. Il permet notamment d’identifier les parties prenantes, les catégories de données traitées ; à quoi servent ces données, qui y accède et à qui elles sont communiquées, combien de temps les données personnelles sont conservées et comment elles sont sécurisées.
Les bases légales La base légale d’un traitement est ce qui autorise légalement sa mise en oeuvre, ce qui donne le droit à un organisme de traiter des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement. Six bases légales sont prévues par le RGPD :
- le consentement ; - le contrat ; - l’obligation légale ; - la sauvegarde des intérêts vitaux ; - l’intérêt public ; - les intérêts légitimes.
Violation de données Une violation de la sécurité se caractérise par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données, de manière accidentelle ou illic
29