1. Informations administratives1





télécharger 149.51 Kb.
titre1. Informations administratives1
date de publication26.01.2017
taille149.51 Kb.
typeDocumentos
m.20-bal.com > loi > Documentos

Version du formulaire : Octobre 2013

Formulaire de demande

de délivrance d’un label

pour une Procédure d’audit

de conformité de traitements

Modalités de candidature


  1. Le présent formulaire doit être dûment rempli pour demander la délivrance d’un label à une procédure d’audit « Informatique et libertés ». Il permet d’expliquer comment chaque exigence du référentiel d’évaluation des procédures d’audit de conformité de traitements est satisfaite et de présenter ou de référencer les éléments permettant de le justifier.

  2. Il est ainsi possible de compléter le formulaire par des éléments de justification, en respectant les conditions suivantes :

  • tout document joint en tant que justification doit respecter la convention de nommage suivante (personnaliser les libellés entre crochets et retirer les crochets) :

LabelsCNIL-Audit-[nom du demandeur]-[libellé court désignant le document]-[année]-[mois]-[jour].[suffixe]

  • tout document électronique doit être lisible par les logiciels de bureautique ou multimédia courants (.doc, .pdf, .txt, .rtf, .jpg…).

  1. Le formulaire dûment rempli doit être envoyé à la CNIL avec l’ensemble des éléments de justification en pièces jointes :

  • soit par le biais du formulaire de dépôt en ligne

  • soit par courrier postal à l'adresse suivante :

Commission Nationale de l'Informatique et des Libertés

8, rue Vivienne

CS 30223

75083 Paris cedex 02

Les informations recueillies font l’objet d’un traitement informatique destiné à permettre à la CNIL l’instruction des demandes de label qu’elle reçoit. Elles sont destinées aux membres et services de la CNIL. Vous pouvez exercer votre droit d’accès et de rectification aux informations qui vous concernent en vous adressant à la CNIL : 8 rue Vivienne - CS 30223 - 75083 Paris cedex 02.

1.Informations administratives1


Les informations suivantes sont nécessaires pour échanger avec la CNIL dans le cadre de l’évaluation de la formation, notamment en cas de compléments d’informations nécessaires à l’instruction de la demande.

1.1.Organisme demandeur


N° SIREN2 + NIC3

 

Code NAF4

     

*Nom de l’organisme

     

Sigle (le cas échéant)

     

*Adresse

     

*Code postal

     

*Localité

     

1.2.Contact5


Civilité

     

*Nom

     

*Prénom

     

Service

     

*Adresse

     

*Code postal

     

*Localité

     

Téléphone

     

Télécopie

     

*Adresse électronique

     

2.Informations relatives à la procédure d’audit6


Les informations suivantes sont nécessaires pour identifier la procédure d’audit de conformité de traitements qui fait l’objet de la demande de délivrance de label et délimiter son périmètre.

Désignation de la procédure d’audit

     

Présentation de la procédure d’audit

     

3.Satisfaction des exigences du référentiel7


L’évaluation des procédures d’audit de conformité de traitements sera faite au regard des tableaux suivants. Elle pourra être complétée via des échanges entre les évaluateurs et le demandeur.

3.1.Référentiel d’évaluation de la méthode des audits de conformité de traitements


Exigences

Moyens mis en œuvre (500 caractères maximum)

Éléments de justification 8 (100 caractères maximum)

Exigences relatives aux principes à respecter

  1. Le requérant a mis en place une démarche visant à s’assurer de la conformité à la loi Informatique et Libertés de l’ensemble des traitements qu’il met en œuvre pour l’ensemble de ses activités, dont l’audit.

     

     

  1. La procédure d’audit comprend l’engagement que les auditeurs respectent les principes de déontologie, de présentation impartiale des résultats, de conscience professionnelle, d’indépendance et d’approche systématique.

     

     

Exigences relatives à tous les auditeurs

  1. La procédure d’audit permet d’assurer que les auditeurs ont une expérience professionnelle de cinq ans au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont suivi une formation à la méthodologie d’audit (principes, procédures et techniques d’audit, documents relatifs à l’audit, lois, réglementations et autres exigences applicables pertinentes pour la discipline…) de vingt heures au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont participé à deux audits au minimum, depuis leur déclenchement jusqu’à leur clôture, dans les deux dernières années.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs ont vingt jours d'expérience d'audit au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs continuent à se perfectionner professionnellement.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs sont évalués selon des critères et des méthodes définies dans le cadre de chaque audit et que les auditeurs qui ne satisfont pas à ces critères complètent leur formation ou leur expérience.

     

     

Exigences relatives aux responsables d’équipe d’audit

  1. La procédure d’audit permet d’assurer que les responsables d’équipe d’audit ont participé à trois audits au minimum, depuis leur déclenchement jusqu’à leur clôture, dans les deux dernières années.

     

     

  1. La procédure d’audit permet d’assurer que les responsables d’équipe d’audit ont quinze jours d'expérience d'audit au minimum en tant que responsable d'équipe d'audit.

     

     

Exigences relatives aux auditeurs « juridiques »

  1. La procédure d’audit permet d’assurer que les auditeurs « juridiques » ont obtenu un diplôme de master 1 ou équivalent dans le secteur du droit au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « juridiques » ont une expérience de deux ans au minimum dans le domaine « Informatique et libertés » (ex : conseil, contentieux, accomplissement de formalités préalables…).

     

     

Exigences relatives aux auditeurs « techniques »

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont obtenu un diplôme de master 1 ou équivalent dans le domaine de l’informatique ou des systèmes d’information au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont suivi une formation sur les référentiels utiles au management de la sécurité des systèmes d’information (réglementation, normes, méthodes, bonnes pratiques, gestion des risques…) de deux jours au minimum.

     

     

  1. La procédure d’audit permet de s’assurer que les auditeurs « techniques » ont suivi une formation dans le domaine Informatique et Libertés.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont suivi une formation d’audit de sécurité technique (intrusion, investigation, détection de vulnérabilités techniques…) de deux jours au minimum.

     

     

  1. La procédure d’audit permet d’assurer que les auditeurs « techniques » ont une expérience de trois ans au minimum dans le domaine de la sécurité des systèmes d’information.

     

     

Exigences relatives à la préparation des audits

  1. La procédure d’audit permet d’assurer que les responsabilités de chacun, les objectifs, le champ, les critères et le déroulement de l’audit sont définis avec le commanditaire en tenant compte des éventuels audits préalablement réalisés.

     

     

  1. La procédure d’audit permet d’assurer que la faisabilité de l’audit est étudiée et que les actions nécessaires sont prises en fonction de cette étude.

     

     

  1. La procédure d’audit permet d’assurer que l’équipe d’audit est constituée en fonction des compétences « juridiques » et « techniques » nécessaires pour atteindre les objectifs de l’audit et dans le respect des principes relatifs aux auditeurs.

     

     

  1. La procédure d’audit prévoit l’insertion d’une clause particulière dans le contrat établi entre le prestataire et le commanditaire de l’audit, afin de garantir la confidentialité des données à caractère personnel qui pourraient, le cas échéant, être portées à la connaissance du prestataire dans le cadre de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que la documentation examinée par l’auditeur est consultée dans les locaux de l’audité ou est anonymisée si elle est consultée hors des locaux de l’audité. Ce principe est inscrit dans la clause de confidentialité établie entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que la documentation examinée par l’auditeur est adéquate pour réaliser l’audit et que le commanditaire de l’audit en est informé si ce n’est pas le cas. Pour qu’elle soit adéquate, elle comprend notamment les critères et les conclusions des éventuels audits préalablement réalisés, ainsi que les politiques internes relatives à la protection des données à caractère personnel, dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les instruments de recueil d’informations qui seront employés par l’équipe d’audit (questionnaires, guides d’entretien, logiciel d’analyse…) sont pertinents au regard des vérifications prévues et qu’ils sont éprouvés (des tests préliminaires ont été réalisés, des utilisations antérieures ont démontré leur justesse…).

     

     

  1. La procédure d’audit permet d’assurer que les échantillonnages réalisés (personnes interrogées, vérifications effectuées, données contrôlées…) sont suffisamment représentatifs.

     

     

  1. La procédure d’audit permet d’assurer que le plan d’audit, la manière dont les actions d’audit seront menées et les circuits de communication sont validés avec les responsables des activités du champ de l’audit et leurs questions traitées.

     

     

  1. La procédure d’audit permet d’assurer que le responsable de l’équipe d’audit élabore un plan d’audit validé par le commanditaire de l’audit. Ce plan d’audit contient notamment les objectifs de l’audit, les critères d’audit, les documents de référence, le champ d’audit, les dates, lieux, horaires et durée d’audit sur site, les rôles et responsabilités, ainsi que la mise à disposition des ressources appropriées et éventuellement les objections de l’audité. Les critères d’audit tiennent compte des audits préalablement réalisés et des politiques internes relatives à la protection des données à caractère personnel.

     

     

Exigences relatives à la réalisation des audits

  1. La procédure d’audit permet d’assurer que l’accès et l’utilisation de données à caractère personnel nécessitant une habilitation particulière est réservé aux personnes dûment habilitées à le faire et ce, dans le respect de la loi et de la réglementation. Ce principe est inscrit dans le contrat établi entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet de vérifier que seules les personnes disposant d’une habilitation particulière ont effectivement accès aux données et peuvent les utiliser.

     

     

  1. La procédure d’audit permet d’assurer que l’audité et, si nécessaire, le commanditaire de l’audit, est informé de l’avancement et de toute difficulté rencontrée de manière régulière.

     

     

  1. La procédure d’audit permet d’assurer que les preuves d’audit sont constituées à partir d’une vérification « juridique » et « technique » des informations recueillies et consignées.

     

     

  1. La procédure d’audit permet d’assurer que les données à caractère personnel collectées en tant que preuve sont, soit anonymisées, soit uniquement consultables au sein des locaux de l’audité tout en étant conservées de manière à assurer leur confidentialité. Ce principe est inscrit dans la clause de confidentialité établie entre le prestataire et le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les constats d’audit sont élaborés en évaluant la conformité des preuves d’audit par rapport aux critères d’audit.

     

     

  1. La procédure d’audit permet d’assurer que l’équipe d’audit prépare les conclusions d’audit sur la base des constats d’audit.

     

     

  1. La procédure d’audit permet d’assurer que les preuves, les constats et les conclusions d’audit sont présentés à l’audité afin de vérifier sa compréhension et de faire reconnaître les preuves comme exactes, et que toute divergence d’opinion subsistant à l’issue de la discussion est consignée.

     

     

Exigences relatives à la finalisation des audits

  1. La procédure d’audit permet d’assurer que le rapport d’audit fournit un enregistrement complet, concis, précis et clair de l’audit (contenant au minimum : date du rapport d’audit, objectifs de l’audit, champ d’audit, commanditaire de l’audit, équipe d’audit, dates et lieux des activités d’audit sur site, critères d’audit, constats d’audit et conclusions d’audit), est émis dans les délais convenus à moins qu’une nouvelle date d’émission ne soit fixée, est approuvé selon la procédure retenue et est diffusé aux destinataires identifiés par le commanditaire de l’audit.

     

     

  1. La procédure d’audit permet d’assurer que les documents relatifs à l’audit (documentation fournie, plan d’audit, preuves d’audit, rapport d’audit…) sont conservés de manière à préserver leur confidentialité ou détruits de manière définitive et sécurisée s’ils ne sont plus utiles à l’issue de l’audit.

     

     


3.2.Référentiel d’évaluation du contenu des audits de conformité de traitements


Exigences

Moyens mis en œuvre (500 caractères maximum)

Preuves (100 caractères maximum)

Exigences relatives aux bases de connaissances utilisées

  1. La procédure d’audit s’appuie sur une base de connaissances en conformité avec les règlementations françaises et communautaires. Les recommandations d’interprétation au niveau français et européen peuvent également être prises en compte.

     

     

  1. La procédure d’audit s’appuie sur une base de connaissances reflétant l’état de l’art en matière de sécurité des systèmes d’information, et dispose d’une méthode permettant de la mettre à jour régulièrement.

     

     

Exigences relatives à l’organisme audité

  1. La procédure d’audit dispose d’une méthode permettant d’identifier la structure organisationnelle de l’organisme audité, les systèmes d’information, les flux d’information concernés et les normes juridiques spécifiques dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’apprécier l’existence et l’efficacité de l’organisation et de la documentation pour gérer les traitements de données à caractère personnel dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’apprécier, dans le cas où l’audité dispose d’un correspondant « Informatique et libertés » (CIL), les moyens qui lui sont accordés pour réaliser sa mission et le bilan de celle-ci.

     

     

Exigences relatives à l’identification des traitements

  1. La procédure d’audit décrit un processus méthodologique d’énumération de tous les traitements identifiés à l’intérieur du champ de l’audit.

     

     

  1. La procédure d’audit contient un processus de détection des traitements éventuellement non identifiés par le responsable de traitement au sein du champ de l’audit.

     

     

  1. La procédure d’audit permet d’identifier les recours éventuels à des prestataires extérieurs.

     

     

  1. La procédure d’audit permet d’identifier et de catégoriser l’ensemble des données à caractère personnel utilisées dans les traitements inclus dans le champ de l’audit.

     

     

  1. La procédure d’audit permet de caractériser la responsabilité de l’organisme audité au regard des traitements au sein du champ de l’audit, en déterminant notamment si l’organisme est responsable de traitement ou sous-traitant au sens de la loi Informatique et Libertés.

     

     

  1. La procédure d’audit permet de déterminer la loi nationale de protection des données applicable à chaque traitement se trouvant dans le champ de l’audit.

     

     

  1. La procédure d’audit contient une approche méthodologique pour réaliser un bilan des formalités préalables ou des éléments portés dans le registre du CIL le cas échéant, permettant de vérifier leur exhaustivité et leur exactitude.

     

     

Exigences relatives à l’appréciation de la licéité des traitements

  1. La procédure d’audit permet d’obtenir une description exacte des finalités des traitements inclus dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’apprécier le fondement légal de chaque traitement inclus dans le champ de l’audit.

     

     

  1. La procédure d’audit comprend une démarche particulière pour déterminer si les données à caractère personnel des traitements inclus dans le champ de l’audit sont pertinentes, adéquates et non excessive au regard des finalités identifiées.

     

     

  1. La procédure d’audit permet d’évaluer si les données à caractère personnel utilisées sont toutes nécessaires au regard de la finalité recherchée, et si certaines d’entres elles pourraient être partiellement ou totalement anonymisées tout en permettant d’atteindre la finalité désirée.

     

     

  1. La procédure d’audit permet d’évaluer la qualité de la méthode de recueil des données à caractère personnel auprès de personnes concernées, notamment pour apprécier son caractère loyal et licite.

     

     

  1. La procédure d’audit permet de s’assurer que les traitements confiés à des prestataires font l’objet d’un contrat de prestation de service.

     

     

  1. La procédure d’audit permet de s’assurer que les contrats de prestation de services contiennent des dispositions relatives aux mesures de sécurité et des instructions claires données par le responsable de traitement à son prestataire.

     

     

  1. La procédure d’audit dispose d’une méthode d’identification des flux de données hors de l’Union européenne.

     

     

  1. La procédure d’audit permet de vérifier l’existence et la conformité des instruments juridiques permettant d’encadrer les transferts hors de l’Union européenne.

     

     

Exigences relatives à l’étude des personnes accédant aux données

  1. La procédure d’audit dispose d’une méthode permettant de recenser et de catégoriser l’ensemble des personnes qui, en raison de leurs fonctions, sont chargées de traiter les données à caractère personnel qui sont inclus dans le champ de l’audit.

     

     

  1. La procédure d’audit permet d’évaluer la politique d’habilitation appliquée à chaque personne ayant un accès légitime aux données identifiées, au regard du principe de limitation des accès au besoin d’en connaître.

     

     

Exigences relatives à l’analyse des durées de conservation

  1. La procédure d’audit comprend une démarche particulière pour recenser les durées de conservation des données à caractère personnel utilisées.

     

     

  1. La procédure d’audit comprend une démarche particulière pour déterminer si les durées de conservation sont adéquates.

     

     

  1. La procédure d’audit prévoit des contrôles pertinents sur les systèmes d’information par des auditeurs « techniques » afin de vérifier si les durées de conservation appliquées sont conformes aux durées prévues.

     

     

  1. La procédure d’audit prévoit des contrôles afin de vérifier que les données font l’objet d’une suppression effective à l’expiration de leur durée de conservation.

     

     

  1. La procédure d’audit examine également la politique d’archivage des données à caractère personnel, le cas échéant, au regard des recommandations de la CNIL en la matière.

     

     

Exigences relatives à l’étude de la sécurité

  1. La procédure d’audit permet d’analyser et d’évaluer la démarche mise en œuvre par les responsables de traitement pour assurer la confidentialité, l’intégrité et la disponibilité des données à caractère personnel entrant dans le champ de l’audit.

     

     

  1. La procédure d’audit comprend une démarche particulière pour identifier les principaux risques que les traitements dans le champ de l’audit font peser sur les libertés et la vie privée des personnes concernées en cas d’atteinte à la sécurité des données à caractère personnel, en tenant compte des éventuels sous-traitants. Cette démarche permet notamment d’estimer ces risques en termes de gravité et de vraisemblance.

     

     

  1. La procédure d’audit comprend une démarche particulière pour identifier les mesures de sécurité mises en œuvre et pour évaluer leur pertinence vis-à-vis des risques identifiés et estimés, notamment pour gérer les incidents de sécurité liés aux données à caractère personnel.

     

     

  1. La procédure d’audit permet de déterminer si les mesures de sécurité identifiées sont correctement mises en œuvre et s’appuie sur des vérifications adéquates effectuées sur les systèmes d’information, réalisées par des auditeurs « techniques ».

     

     

Exigences relatives à l’étude du respect des droits des personnes

  1. La procédure d’audit permet de vérifier que les personnes concernées disposent d’un droit d’accès, de rectification et le cas échéant d’un droit d’opposition.

     

     

  1. La procédure d’audit permet de contrôler que les droits des personnes peuvent être exercés de manière effective, et dans des délais raisonnables.

     

     

  1. La procédure d’audit permet de vérifier que les personnes disposent d’une information correcte, accessible et claire sur leurs droits, ainsi que sur les autres éléments d’information prévus par la loi.

     

     

Exigences relatives à l’étude des traitements particuliers

  1. La procédure d’audit permet de déterminer le régime juridique dont relèvent les traitements au sein du champ de l’audit et d’étudier la conformité aux dispositions particulières afférentes en matière de protection des données à caractère personnel, notamment :

  • l’utilisation de données sensibles ;

  • les traitements portant sur des données génétiques, les traitements portant sur des infractions, les traitements d’exclusion, les interconnexions, les traitements utilisant le NIR, les traitements portant une appréciation sur les difficultés sociales des personnes, les traitements biométriques,

  • les traitements du monde de la santé (recherche et évaluation des pratiques) ;

  • les traitements aux fins de journalisme et d'expression littéraire et artistique ;

  • les traitements mettant en œuvre un processus d’anonymisation ;

  • les traitements mis en œuvre par l’État.

     

     



1 Les champs précédés d'un astérisque sont obligatoires.

2 Système d’Identification du Répertoire des Entreprises.

3 Numéro Interne de Classement.

4 Nomenclature des Activités Françaises.

5 À même de communiquer à la CNIL les compléments d’information nécessaires à l’instruction de la demande.

6 Tous les champs sont obligatoires.

7 Tous les champs sont obligatoires.

8 Référence à un document ou référence à un passage précis d’un document.

8 rue Vivienne –CS 30223 - 75083 Paris Cedex 02 - Tél. : 01 53 73 22 22 - Fax : 01 53 73 22 00

RÉPUBLIQUE FRANÇAISE


similaire:

1. Informations administratives1 iconIntroduction Voici un resume des requetes qui m’ont permis d’obtenir...

1. Informations administratives1 iconVérification des informations sociales, environnementales et sociétales...
«Informations rse», en application des dispositions de l’article L. 225-102-1 du code de commerce

1. Informations administratives1 iconInterview d’une redactrice d’assurance
«informations sinistre» à partir de la déclaration du client. Cet imprimé informatisé comporte un plan de questionnement type pour...

1. Informations administratives1 iconFormulaire de demande de modifications des informations du livret scolaire
«livret scolaire du lycée» lsl, je souhaite que les informations ci-dessous soient rectifiées dans le livret scolaire de l’élève...

1. Informations administratives1 iconF iche de prise de contact
«informatique et libertés» du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent....

1. Informations administratives1 iconFiche d’inscription au tournoi …
«informatique et libertés» du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent....

1. Informations administratives1 iconComité de pilotage
«GoogleDoc» permettait de recueillir des informations d’ordre qualitatif, qui ne sont plus disponibles. L’outil sous réserve d’être...

1. Informations administratives1 iconBulletin d'informations de l'Association des bibliothécaires français,...
«Les documents sonores à la Phonothèque nationale», Bulletin d'informations de l'Association des bibliothécaires français, n° 163,...

1. Informations administratives1 iconInformations générales

1. Informations administratives1 iconInformations institutionnelles





Tous droits réservés. Copyright © 2016
contacts
m.20-bal.com