Gestion de la confidentialité Vue d’ensemble de la solution

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • La Gestion de la confidentialité solution vous fournit un cadre de travail pour gérer vos bibliothèques spécifiques à la confidentialité, telles que les citations, les politiques, les objectifs de contrôle, les déclarations de risque, les évaluations de l’impact sur la confidentialité et les évaluations des risques de confidentialité. Il fournit également des enregistrements d’activité de traitement pour suivre le risque de confidentialité et la posture de conformité.

    Avant de planifier votre programme de confidentialité, vérifiez que vous avez configuré les bibliothèques de confidentialité conformément aux réglementations en matière de confidentialité que vous prévoyez d’implémenter. Pour plus d’informations sur la configuration de la bibliothèque, reportez-vous à .Gérer la Gestion de la confidentialité bibliothèque

    La figure suivante illustre la Gestion de la confidentialité solution.
    Figure 1. Vue d’ensemble de la solution de gestion de la confidentialité
    Vue d’ensemble de la solution de gestion de la confidentialité.

    La Gestion de la confidentialité solution est décrite comme suit.

    Créer une bibliothèque

    En tant que responsable de la confidentialité, avec le rôle sn_privacy.manager, ou administrateur de la confidentialité, avec le rôle sn_privacy.admin, vous devez configurer vos bibliothèques à l’aide des éléments suivants.
    • Évaluations de l’impact sur la confidentialité
    • Objets d’informations personnelles
    • Réglementations en matière de confidentialité, documents de référence, citations et objectifs de contrôle.
    • Politiques et procédures de confidentialité
    • Déclarations de risque de confidentialité

    Évaluations de l’impact sur la confidentialité

    Dans le cadre de la mise en place d’un programme de protection de la vie privée solide, les responsables de la protection de la vie privée doivent d’abord identifier et documenter l’inventaire des actifs organisationnels qui traitent des données personnelles. Cette étape fondamentale implique la détection et la classification des processus business, des applications, des fournisseurs et des services qui traitent des informations personnelles identifiables (PII). Les approches suivantes décrivent comment découvrir systématiquement, valider et documenter ces inventaires à l’aide de types d’entités, d’évaluations préalables et d’informations basées sur le système.

    1. Découvrir l’inventaire : en tant que responsable de la confidentialité, avec le rôle sn_privacy.manager, identifiez ou découvrez l’inventaire, tel que les processus business, les applications d’entreprise, les fournisseurs et les services d’entreprise qui traitent des données personnelles. Tout cet inventaire est stocké dans les tables respectives Base de données de gestion des configurations (CMDB) . Les propriétaires d’entreprise respectifs gèrent l’inventaire. En tant que gestionnaire de la confidentialité, utilisez la fonctionnalité Types d’entité et créez une entité pour chaque enregistrement d’inventaire. Pour plus d’informations sur les types d’entité, reportez-vous à la section Exploration des entités. À ce stade, en fonction de la méthode de découverte, vous pouvez utiliser l’une des approches suivantes pour créer des activités de traitement.
      1. Rechercher des processus de gestion ou des applications qui traitent des données personnelles : utilisez cette approche lorsque des processus de gestion, des applications, des services ou des fournisseurs sont associés à des objets d’informations. À l’aide de la fonctionnalité de type d’entité, recherchez les entités qui traitent des objets d’informations [PI]. En fonction des résultats de la recherche, créez directement les enregistrements d’activité de traitement. Cette approche n’est utilisée que lorsque les propriétaires d’entreprise associent l’inventaire à des objets d’information. Pour plus d'informations, consultez Définition du champ d’application de l’entité pour planifier un programme de confidentialité.
      2. Envoyer des évaluations de contrôle de la confidentialité : utilisez cette approche lorsque des objets d’informations ne sont pas associés à l’inventaire, tels que des applications et des processus d’entreprise. Dans cette approche, envoyez des évaluations de contrôle de la confidentialité aux propriétaires d’entreprise respectifs. Ces évaluations préalables contiennent des questions de base. Voici quelques exemples de questions :
        • Traitez-vous des informations personnelles dans le cadre du processus business ou de l’application que vous possédez ?
        • Quel type d’informations personnelles traitez-vous ? Par exemple, e-mail, téléphone et adresse.
        Si les réponses à l’évaluation déterminent qu’il existe des données personnelles, les activités de traitement sont créées automatiquement.
    2. Les utilisateurs métiers peuvent soumettre de manière proactive des évaluations de l’impact sur la Centre des employés confidentialité pour les nouvelles applications et processus à partir du .

    Gérer et mettre à jour les activités de traitement

    1. Créer ou mettre à jour une activité de traitement : en tant qu’analyste de la confidentialité, ayant le rôle sn_privacy.analyst, envoyez une évaluation de l’impact sur la confidentialité (PIA) à l’activité de traitement ou aux propriétaires d’entreprise après la création d’une activité de traitement. L’évaluation de l’impact sur la confidentialité permet de comprendre pourquoi et comment l’activité de traitement traite les informations personnelles. L’évaluation recueille des informations telles que la justification du stockage des données des PI, l’échange des données des PI avec d’autres systèmes et la sécurité des données des PI.
    2. Envoyer ou lancer automatiquement PIA : En tant qu’analyste de la confidentialité, envoyez une évaluation de l’impact sur la confidentialité (PIA) à partir d’une activité de traitement chaque fois que vous devez collecter plus d’informations. Vous pouvez également lancer automatiquement les évaluations en fonction de la fréquence du programme de confidentialité définie par le gestionnaire de confidentialité et l’administrateur de confidentialité. Un calendrier de lancement automatique peut être créé à l’aide des ServiceNow AI Platform options.
    3. Appliquez les risques et les contrôles liés à l’activité de traitement : en tant qu’analyste de la confidentialité, une fois que vous avez compris comment les informations personnelles sont utilisées dans l’activité de traitement, les déclarations de risque, les contrôles, les politiques et les documents de référence nécessaires sont automatiquement appliqués aux activités de traitement en fonction des réponses d’évaluation. Pour en savoir plus sur la configuration des évaluations, consultez Créer un modèle d’évaluation. Une fois les contrôles ajoutés, l’analyste de la confidentialité peut les examiner et ajouter ou supprimer les contrôles si nécessaire.
    4. Envoyer les attestations de contrôle : une fois que l’ensemble final de contrôles est associé à l’activité de traitement, les attestations de contrôle sont envoyées aux propriétaires de processus business ou aux propriétaires d’applications pour collecter les preuves de chaque contrôle appliqué. Lorsque les propriétaires d’entreprise répondent aux attestations de contrôle avec des preuves pour chaque contrôle, les contrôles conformes et non conformes sont identifiés. Cette identification détermine la posture de conformité de l’activité de traitement.
    5. Signaler et surveiller les problèmes : les problèmes sont créés automatiquement pour les contrôles non conformes et sont affectés à leurs propriétaires d’entreprise respectifs. L’analyste de la confidentialité surveille les problèmes.
    6. Gérer les problèmes : Pour gérer les problèmes, les propriétaires d’entreprise peuvent effectuer l’une des opérations suivantes :
      • Résoudre le problème : la résolution du problème rend le contrôle conforme.
      • Émettre une exception de politique : une exception est créée pour un problème qui ne peut pas être résolu immédiatement. Les analystes de la confidentialité peuvent examiner les exceptions de politique et peuvent accepter ou rejeter les exceptions en fonction de la criticité du problème.
    7. Surveillance continue des contrôles : les analystes de la confidentialité surveillent en permanence les contrôles d’une activité de traitement à l’aide de la fonctionnalité d’indicateur. Pour plus d’informations sur les indicateurs, voir Indicateurs de risque, indicateurs de contrôle et modèles d’indicateurs.

    Évaluer la criticité des activités de traitement

    Le score de criticité fournit la situation vis-à-vis du risque au niveau de l’activité de traitement en évaluant les facteurs au niveau de l’activité de traitement. Lorsqu’une activité de traitement est créée ou mise à jour, une évaluation de criticité est effectuée sur l’activité de traitement pour comprendre le score de risque de haut niveau ou le score de criticité.

    Effectuer des évaluations des risques de confidentialité

    Les évaluations des risques de confidentialité sont des évaluations détaillées qui sont effectuées si le score de criticité est élevé. Évaluez chaque risque associé à l’activité de traitement et connaissez le score de risque agrégé sur l’activité de traitement. Après avoir évalué les risques pour la confidentialité, vous pouvez afficher la position de risque de confidentialité sur la carte thermique des risques dans la section Vue d’ensemble. Les cartes thermiques fournissent des informations détaillées sur vos risques inhérents et résiduels.