Définition du champ d’application de l’entité pour planifier un programme de confidentialité
Lorsqu’un responsable de la protection de la vie privée planifie le programme de confidentialité d’une organisation, la première étape consiste à définir le périmètre des applications ou processus d’entreprise qui contiennent des données personnelles. Dans Gouvernance, risque et conformité, ces applications ou processus d’entreprise sont appelés des entités. Une fois que vous avez identifié les entités qui traitent des données personnelles, les activités de traitement sont automatiquement créées.
Un responsable de la protection de la vie privée, doté du rôle sn_privacy_manager, planifie divers programmes de protection de la vie privée. Voici quelques exemples de programmes de protection de la vie privée :
- identifiant l’ensemble des processus business et des fournisseurs qui traitent les données personnelles des clients ;
- Identification des applications d’entreprise qui traitent les données personnelles des employés.
Vous pouvez identifier ou détecter les entités qui traitent des données personnelles à l’aide de l’une des méthodes suivantes.
- Filtrage des entités soit en découvrant les activités de traitement en fonction de leur utilisation des informations personnelles.
- Envoi des évaluations initiales de la confidentialité.
- Découvrir les activités de traitement par leur utilisation des informations personnelles
- Au niveau de l’inventaire, lorsque les processus de gestion, les applications d’entreprise et d’autres enregistrements d’inventaire sont mappés à des objets d’informations de type Informations personnelles (IP), le gestionnaire de la confidentialité peut détecter les enregistrements qui traitent des informations de PI spécifiques. Pour plus d’informations sur les objets d’informations et leur rôle dans , reportez-vous à la Gestion de la confidentialité section Objets d’informations dans Gestion de la confidentialité.
- L’image suivante montre un processus de gestion auquel des objets d’informations sont associés. Pour identifier ces applications ou processus d’entreprise associés à des objets d’informations, la fonctionnalité améliorée de filtre d’entité dans la fonctionnalité de définition du champ d’application de l’entité est utilisée. Pour plus d'informations, consultez Entités du champ d’application pour détecter les activités de traitement avec des informations personnelles.
Figure 1. Processus business avec objets d’informations associés - Identifier les entités potentielles et envoyer les évaluations initiales de la confidentialité
- Si les objets d’informations ne sont pas mappés aux applications ou processus d’entreprise, vous pouvez envoyer des évaluations initiales de la confidentialité à toutes les entités et utiliser leurs réponses pour déterminer si des données personnelles sont traitées. Les étapes pour envoyer l’évaluation sont les suivantes :
- Créez un type d’entité. Par exemple, les processus d’entreprise qui traitent les informations personnelles des clients ou les applications d’entreprise qui stockent les informations des employés.
- Identifiez les entités à l’aide du type d’entité que vous avez créé.
- Sélectionnez les entités pertinentes et envoyez les évaluations du contrôle de la confidentialité aux propriétaires d’entités respectifs.
- En fonction des réponses, les activités de traitement sont créées automatiquement lorsque les questions pertinentes reçoivent une réponse.
Figure 2. Envoi des évaluations de la confidentialité aux entités