Attention ! L’auto-évaluation vous est fournie à titre indicatif : les résultats ne doivent pas être interprétés comme une certification
ou une validation par l’Autorité de protection de votre conformité en matière de gestion des données à caractère personnel.
« Vos données à caractère personnel seront collectées et traitées par l’ARTCI, l’Autorité de Protection, dans le cadre du traitement de votre requête aux fins exclusives de vous identifier.
Ainsi, conformément à la loi n°2013-450 du 19 juin 2013, vous pouvez exercer vos droits d’accès, d’opposition, de rectification et de suppression auprès de ladite Autorité »
Le processus de mise en conformité est composé des étapes suivantes :
1. Sensibilisation/Formation
Le personnel doit être sensibilisé et formé:
- à la protection de ses propres données ;
- à la gestion et à la protection appropriée des données à caractère personnel qu’ils manipulent dans le cadre des activités professionnelles.
2. Désignation d’un Correspondant à la Protection
Le correspondant est la personne physique ou morale désignée par le responsable du traitement, pour veiller d’une manière indépendante, au respect des obligations prévues pour la protection des données à caractère personnel, par la législation en vigueur. Il est l’interface entre :
- le responsable du traitement et l’Autorité de protection ;
- le responsable du traitement et les personnes concernées.
Son profil est défini par l’article 4 de l’Arrêté n°511/MPTIC/CAB du 11 novembre 2014 portant définition du profil et fixant les conditions d’emploi du Correspondant à la protection des données à caractère personnel. Ses missions sont définies par les articles 10 et 11 du même texte.
3. Diagnostic des activités et processus métiers
Un diagnostic des activités de chacune des directions ou départements est effectué, afin d’identifier celles qui sont liées au traitement de données à caractère personnel.
4. Inventaire des données à caractère personnel et Classification des données traitées
Les données à caractère personnel traitées par le responsable du traitement sont inventoriées, puis classifiées selon les catégories définies par la loi 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel (exemples : données sensibles, données financières, données de localisation etc).
5. Analyse des critères relatifs aux données
Les données seront analysées, afin de vérifier qu’elles obéissent aux critères définis par la loi. L’analyse consistera à vérifier que les données sont adéquates, pertinentes, limitées, exactes et tenues à jour, au regard des finalités pour lesquelles elles sont traitées.
6. Inventaire des traitements y compris les transferts de données à l’étranger
Constitue un traitement de données à caractère personnel, toute opération de : collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, transfert etc. Les traitements seront identifiés et listés. Une description brève doit en être faite avec précision de leur finalité, des catégories de personnes concernées etc. Les données transférées à l’étranger seront listées en précisant les destinataires, le pays de destination, le cadre de protection de données à caractère personnel dans ce pays.
7. Identification et classification des supports de traitement
Les supports de traitements devront être identifiés et classifiés, selon que les traitements sont manuels ou automatisés.
8. Analyse des critères de consentement
Les traitements devront être analysés pour évaluer la nécessité du préalable consentement des personnes concernées. Cette analyse consiste à :
- identifier les cas d’exonération du consentement préalable des personnes concernées ;
- identifier les cas nécessitant le consentement préalable des personnes concernées ;
- vérifier que le consentement préalables des personnes concernées est libre, spécifique, éclairé, univoque.
9. Analyse des écarts
Une analyse de l’état courant sera effectuée sur l’information (finalités, destination,…), l’approbation, le droit d’accès et de rectification des personnes concernées, et sur le niveau de protection des données à caractère personnel traitées et des supports de traitement.
10. Plan d’actions correctives
Un plan d’actions correctives des écarts décelés devra être défini en relation avec l’Autorité de protection aux fins de sa mise en œuvre par le responsable du traitement.
11. Autorisation Unique de traitement
En application du Décret n°2015-79 du 04 février 2015 fixant les modalités de dépôt des déclarations de présentation des demandes, d’octroi et de retrait des autorisations pour le traitement des données à caractère personnel, l’Autorité de protection délivrera une autorisation pour l’ensemble des traitements effectués par le responsable du traitement. L’autorisation unique est soumise au paiement des frais d’autorisation.
12. Attestation de conformité
Après correction des écarts constatés, l’Autorité de protection délivrera une attestation de conformité au responsable du traitement.
13. Veille réglementaire
Pour toutes nouvelles activités ou pour toutes nouvelles données à caractère personnel traitées dans les activités identifiées, une analyse devra être effectuée afin de définir les exigences de conformité et de déclaration auprès de l’Autorité de Protection.