Préambule
Références
Informations sur votre Société
Désignation d'un DPD ou d'un Référent
Traitement des données à caractère personnel
Registre des sous-traitants
Questions diverses
Votre système informatique

Ce questionnaire est destiné à nous permettre de réaliser un audit RGPD et un diagnostic de sécurité du système informatique de votre entrepise ou collectivité.

Il doit être complété avec le plus grand soin car c'est à partir de vos réponses que nous pourrons diagnostiquer les points faibles présents dans votre système qui pourraient vous exposer à des désagréments sérieux en cas de cyber-attaque ou plus simplement en cas de panne grave de vos serveurs ou postes de travail nécessitant une réinstallation partielle ou complète de vos logiciels.

C'est pourquoi il est important que nous récoltions le maximum d'informations pour établir notre diagnostic de manière sérieuse.

En cas de difficulté ou d'incomphehension, n'hésitez pas à nous interroger :

Par mail à questionnaire@datavigiprotection.fr
Par téléphone au 07 83 32 52 18


Nous vous apporterons toute l'aide qui sera nécessaire au bon aboutissement de ce questionnaire.

Vous nous avez mandatés pour effectuer un diagnostic de sécurité après l’installation de la solution Panda Adaptive 360 et des modules complémentaires Reporting et Data Control.

Les objectifs principaux de ce diagnostic sont notamment de :

  • Analyser votre système d’information,
  • Evaluer le niveau de sécurité des données personnelles,
  • Préparer la réalisation du rapport final qui permettra de :
  • Identifier et cartographier les fichiers non structurés contenant des données à caractère personnel,
  • Identifier les opérations effectuées par les utilisateurs sur les fichiers non structurés contenant des données à caractère personnel,
  • Lister les applications vulnérables,
  • Mettre en évidence les éventuelles failles,
  • Proposer corrections et améliorations,
  • Formaliser les procédures selon les recommandations de la CNIL.
Date de création
Référent RGPD
Contact
Agence éventuelle

La désignation d’un délégué à la protection des données est obligatoire en 2018 si :

  • vous êtes un organisme public,
  • vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.

Même si votre société n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne, disposant de relais internes,
chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Merci de nous indiquer si vous êtes dans l’un de ces 2 cas de figure


Ce DPD a t'il été enregistré auprès de la CNIL


Merci de lister les services de votre organisation ainsi que le nom de leur responsable respectif et de précser pour chacun s'l effectue des traitements sur les données personnelles.

Effectue des traitements
Effectue des traitements
Effectue des traitements


Merci de lister et de décrire les traitements effectués à partir de données à caractère personnel.

Traitement : Nom du traitement
Service ou sous-traitant : Nom du service interne à votre entreprise ou du sous-traitant, si le traitement est externalisé, qui effectue le traitement des données.
Responsable : Nom du responsable du traitement dans votre entreprise.
Fonction : Fonction ou poste occupé par le responsable du traitement.
Base juridique : Base juridique sur la s'appuie le traitement (Exécution d'un contrat, obligation légale, exécution d'une mission d'intérêt public, intérêt vital, intérêt légitime, consentement. Voir le tableau "Licéité du traitement" ci-dessous).
Destinataires : Destinataires du traitement (une persoone, un groupe de personne).


Merci de lister et de décrire les traitements effectués à partir de données à caractère personnel.

Traitement : Nom du traitement
Finalité : Objectif du traitement (gestion du recrutement, gestion de la clientèle, enquête de satisfaction, protection des biens et des personnes, etc.).
Catégories : Type de données personnelles utilisées (nom, adresse, numéro de sécurité sociale, information médicale ou éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale).
Flux : Origine et destination des données (système informatique local vers sous-traitant UE ou hors UE, strictement local)
Durée : Durée pendant laquelle vous conservez les données.

Ces données seront reportées dans le registre de traitement des données. qui vous sera fourni avec l'audit RGPD/Diagnostic de sécurité

Veuillez établir la liste des sous-traitants amenés à traiter pour vous, de manière directe ou indirecte, des données à caractère personnelle. Chacun d’entre eux devra vous fournir les garanties suivantes :

  • que les données à caractère personnel traitées dans le cadre de votre relation sont identifiées et localisées,
  • que pour ces données les éléments nécessaires au respect de la RGPD ont été mis en place (protection, extraction, effacement / anonymisation, ...)
  • qu’un délégué à la protection des données DPD/DPO ou un référant a été nommé pour traiter les obligations de la RGPD dans le cadre de vos relations,
  • qu'en cas de perte ou de vol de données, les procédures de la RGPD de sinistre sont définies,
  • que toutes les informations nécessaires et pouvant vous aider à garantir votre conformité à la RGPD vous ont été communiquées,
  • qu’il est bien assuré contre le cyber-risque.

RGPD Ready
RGPD Ready
RGPD Ready

Voir notre modèle de courrier à envoyer à vos sous-traitants joint en annexe.

Chaque utilisateur se connecte avec un identifiant (login) unique à l’ouverture de session ?
Y a t-il une procédure de verrouillage automatique de session sur chacun de vos postes ?
Recueillez-vous l’accord de l’utilisateur avant toute intervention sur son poste ?
Avez-vous prévu des moyens de chiffrement des équipements mobiles ?
Faites-vous des sauvegardes ou synchronisations régulières des données de vos équipements mobiles ?
Y a t-il des accès via l’extérieur à votre système d’information (par exemple en TSE) ?
Sécurisez-vous les accès distants des équipements mobiles par VPN ?
Avez-vous mis en oeuvre un protocole WPA2 ou WPA2-PSK pour les réseaux Wi-Fi ?
Avez-vous formalisé un plan de reprise d’activité (PRA) ?
Hébergez-vous vous-même votre site web ?
Avez-vous un logiciel anti-spam ?
Si oui merci de préciser :
Utilisez-vous un progiciel spécifique, spécialement développé pour vous ?
Si oui, est-ce formalisé ?
Vos documents papier contenant des données personnelles sont-ils stockés dans un endroit protégé par une alarme?
Procédez-vous à des campagnes d’e-mailing ou de SMS par vous même?
Disposez-vous d’un firewall matériel ?
Quel est votre fournisseur d’accès internet :
Disposez-vous d’une couverture d’assurance cybercriminalité ?
Procédez-vous à des campagnes d’e-mailing ou de SMS par un sous-traitant ?
Traitez-vous des fichiers contenant des données révèlant l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale?
Traitez-vous des des fichiers contenant données relatives à la santé ou l’orientation sexuelle?
Traitez vous des fichiers contenant des données génétiques ou biométriques?
Traitez-vous des fichiers contenant des données relatives a des infractions ou de condamnations pénale?
Pratiquez-vous une surveillance systématique d’une zone accessible au public via une caméra?
Pratiquez-vous l’évaluation systématique et approfondie d’aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative?
Transférez-vous des données hors de l’union européenne?
Si oui avez- vous informé vos destinatires des nouvelles conditions consécutives à l'entrée en vigueur du RGPD ?
Si oui, le pays est-il reconnu comme adéquat par l'union européenne?
Si non, vos transferts sont-lis encadrés?

Vos sauvegardes
Support: Indiquez ici sur quels types de supports sont sauvegardées vos données
cartouches, disque externe, NAS, prestataire, boitier de sauvegarde ( Wooxo ou autre à préciser), clé USB, autre, aucun.
Logiciel : Précisez quel logiciel vous utilisez pour effectuer vos sauvegardes
WEEAM, BACKUP ASSIST, ACRONIS, ARCSERVE, SYMANTEC, manuellement, autre, aucun.
Rotation/fréquence : Indiquez comment sont réalisees vos sauvegardes
Pour la fréquence
tous les lundis, mardi, mercredi..,. tous les jours..., quand j'y pense, jamais.
Pour la rotation, indiquez si vous changez de support et à quel moment.
Données sauvegardés : Précisez quelles sont les données sauvegardées
Mes documents, dossiers comptables dossiers de paye dossiers de gestion administrative et commerciale dossiers spécifiques contenant des fichiers importants, pour le(s) serveur(s), précisez si vous réalisez une sauvegarde complète permettant une réinstallation facile en cas de nécessité, pour les stations de travail, précisez si vous sauvegardez les fichiers ou les dossiers importants

Vos Copieurs

Votre utilisation du Cloud




Les données présentes dans ce questionnaire sont uniquement recueillies dans le but de vous accompagner dans votre mise en conformité par rapport à la réglementation RGPD. Elles sont destinées à la réalisation du diagnostic sécurité, lui seront annexées et ne seront pas cédées à des tiers ni utilisées à d’autres fins.