Définition du champ d’application d’une entité pour planifier un programme de confidentialité
Lorsqu’un gestionnaire de la protection de la vie privée planifie le programme de confidentialité d’une organisation, la première étape consiste à définir le périmètre des applications ou des processus d’entreprise qui contiennent des données personnelles. Dans Gouvernance, risque et conformité, ces applications d’entreprise ou processus d’entreprise sont appelés en tant qu’entités. Une fois que vous avez identifié les entités traitant des données personnelles, les activités de traitement sont automatiquement créées.
Un gestionnaire de la protection de la vie privée, avec le rôle sn_privacy_manager, planifie divers programmes de protection de la vie privée. Voici quelques exemples de programmes de protection de la vie privée :
- Identification de tous les processus business et fournisseurs qui traitent les données personnelles des clients.
- Identifier les applications d’entreprise qui traitent les données personnelles des employés.
Vous pouvez identifier ou détecter les entités qui traitent des données personnelles à l’aide de l’une des méthodes suivantes.
- Filtrer les entités soit en découvrant les activités de traitement par leur utilisation des informations personnelles.
- Envoi des évaluations initiales de la confidentialité.
- Découvrir les activités de traitement en fonction de l’utilisation qu’ils font des informations personnelles
- Au niveau de l’inventaire, lorsque les processus business, les applications d’entreprise et d’autres enregistrements d’inventaire sont mappés avec des objets d’informations de type Informations personnelles (PI), le gestionnaire de la confidentialité peut détecter les enregistrements qui traitent des informations PI spécifiques. Pour en savoir plus sur les objets d’informations et leur rôle dans , reportez-vous à Privacy Managementla section Objets d’information dans Privacy Management.
- L’image suivante montre un processus business auquel des objets d’informations sont associés. Pour identifier les applications d’entreprise ou les processus associés aux objets d’informations, l’aptitude de filtre d’entité améliorée de la fonctionnalité de définition du champ d’application des entités est utilisée. Pour plus d'informations, consultez Entités du champ d’application pour découvrir les activités de traitement avec des informations personnelles.
Figure 1. Processus business avec les objets d’informations associés - Identifier les entités potentielles et envoyer les évaluations initiales de la confidentialité
- Si les objets d’informations ne sont pas mappés aux applications ou processus d’entreprise, vous pouvez envoyer des évaluations initiales de la confidentialité à toutes les entités et utiliser leurs réponses pour déterminer si des données personnelles sont en cours de traitement. Les étapes pour envoyer l’évaluation sont les suivantes :
- Créez un type d’entité. Par exemple, les processus business qui traitent les informations personnelles des clients ou les applications d’entreprise qui stockent les informations des employés.
- Identifiez les entités à l’aide du type d’entité que vous avez créé.
- Sélectionnez les entités pertinentes et envoyez les évaluations de contrôle de la confidentialité aux propriétaires d’entités respectifs.
- En fonction des réponses, des activités de traitement sont créées automatiquement lorsque des questions pertinentes sont répondues.
Figure 2. Envoi des évaluations de la confidentialité aux entités