À vous de jouer !
Vous êtes sollicité par une société française qui exploite une plateforme de comparaison d'assurance santé, et offre la possibilité aux personnes qui consultent de souscrire un contrat auprès des différentes compagnies. Cette société offre ses services en France, mais également au Maroc, au travers de sa filiale locale.
Préparez un document décrivant toutes les étapes permettant d'aboutir à la mise en conformité RGPD. En plus de ces étapes, indiquez :
si la désignation d'un DPO est indispensable ici ou non ;
et si des risques particuliers sont à prendre en considération.
Vérifiez votre travail
Vérifiez que vous avez suivi les 6 différentes étapes :
Désignation d'un DPO. Elle est indispensable ici, compte tenu du traitement de données personnelles sensibles (médicales) qui exigent un suivi régulier et systématique à grande échelle.
Cartographie des traitements de données personnelles : recensement de chaque traitement, de sa finalité, des acteurs du traitement.
Priorisation des actions.
Gestion des risques. Ici, il y a présence de traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (assurance santé). Il faut donc procéder à une étude d’impact sur la protection des données (PIA : privacy impact assessment), avec la description du traitement et de ses finalités, l'évaluation de la nécessité et de la proportionnalité du traitement, l'appréciation des risques pour les droits et libertés individuelles, etc.
Organisation des processus internes : gestion quotidienne des données personnelles et procédures en cas de scénarios catastrophes.
Documentation de la conformité : rédaction du dossier documentaire imposé par le règlement, et détermination de la mise à jour et du suivi.
Bravo ! 😄 Maintenant, vous êtes prêt pour le quiz !