Évaluations de criticités

L’évaluation de criticité utilise l’évaluation des risques pour déterminer le niveau de risque initial d’une activité de traitement. À l’aide du score de criticité qui en résulte, l’équipe de confidentialité peut hiérarchiser ou déprioriser l’activité en conséquence. Un exemple de facteur de criticité pourrait être que les questions d’évaluation aident à déterminer si les données personnelles sont traitées d’une manière qui influence les décisions clés ou permet une prise de décision autonome ayant un impact.

Les évaluations de criticité peuvent être effectuées à l’aide de l’une des deux méthodes suivantes.

Évaluation manuelle de la criticité

À l’aide de la méthode manuelle, en tant que gestionnaire de la confidentialité, il lance l’évaluation de criticité à partir d’une activité de traitement. Si vous travaillez déjà sur une activité de traitement et que vous souhaitez évaluer sa criticité, vous pouvez déclencher manuellement cette évaluation à l’aide de l’action Évaluer la criticité de l’interface utilisateur. Lorsque vous déclenchez l’évaluation de criticité, le système calcule automatiquement le score de criticité en fonction des informations déjà disponibles dans les champs du formulaire d’activité de traitement. Dans l’onglet Détails réglementaires d’une activité de traitement, vous pouvez fournir les détails liés au risque. Après la saisie de ces informations, le déclenchement de l’évaluation de criticité utilise ces valeurs pour calculer le score de risque. Le système peut calculer le score de criticité plusieurs fois s’il est déclenché manuellement. Elle utilise à chaque fois les données les plus récentes saisies dans les champs de l’activité de traitement et les détails réglementaires.

Évaluation automatisée de criticité

À l’aide de la méthode automatisée, le gestionnaire de confidentialité utilise la méthodologie d’évaluation des risques de facteurs de criticité automatisés (RAM) fournie par défaut pour calculer le score de criticité d’une activité de traitement. Les gestionnaires de la confidentialité doivent publier cette RAM avant qu’elle puisse être utilisée. Par défaut, la RAM est fournie à l’état Brouillon . Lorsqu’un utilisateur effectue une évaluation préalable, il est invité à répondre à plusieurs questions, notamment celles liées à la criticité et à l’évaluation des risques. Si l’utilisateur fournit des réponses à ces questions liées à la criticité lors de l’évaluation préliminaire, le système calcule automatiquement le score de risque de criticité. Le score calculé s’affiche ensuite sur la page Vue d’ensemble lorsque l’utilisateur passe à l’activité de traitement. Étant donné que seules deux RAM sont prises en charge à la fois, elles doivent désactiver tous les autres facteurs de criticité existants RAM (RAM). Il est essentiel de noter que lorsqu’une RAM de facteurs de criticité existante est désactivée, toutes les évaluations des risques en cours associées à cette RAM sont annulées.

Évaluations des risques de confidentialité

Les évaluations des risques de confidentialité sont des évaluations détaillées qui sont effectuées si le score de criticité est élevé. Évaluez chaque risque associé à l’activité de traitement et connaissez le score de risque agrégé sur l’activité de traitement. Après avoir évalué les risques pour la confidentialité, vous pouvez afficher la position de risque de confidentialité sur la carte thermique des risques dans la section Vue d’ensemble. Les cartes thermiques fournissent des informations détaillées sur vos risques inhérents et résiduels. Consultez l’image suivante pour découvrir comment lancer l’évaluation détaillée des risques.

Scores de carte thermique des risques

Les résultats des évaluations des risques et les cartes thermiques des risques s’affichent sur la page d’accueil de l’activité de traitement, comme illustré dans l’image suivante.

Pour en savoir plus sur la manière d’effectuer les évaluations des risques, reportez-vous à la section Configurations de l’évaluation de la confidentialité.