Évaluations intelligentes dans Gestion de la confidentialité
La nouvelle expérience d’évaluation améliorée dans Gestion de la confidentialité utilise l’application Moteur d'évaluation intelligent (SAE). Le moteur d’évaluation vous permet d’effectuer un filtrage de la confidentialité et des évaluations des facteurs relatifs à la confidentialité afin de collecter les informations nécessaires pour les équipes de confidentialité.
Dans Gestion de la confidentialité, les évaluations jouent un rôle important. Il existe deux types d’évaluations.
- Évaluation du contrôle de la confidentialité : Une évaluation du contrôle de la confidentialité est une évaluation préliminaire utilisée pour déterminer si une activité de traitement implique des données personnelles et si elle peut présenter des risques pour la vie privée. Il s’agit d’un examen de haut niveau visant à déterminer si un examen plus détaillé de la protection de la vie privée, comme une évaluation des facteurs relatifs à la vie privée (EFVP), est nécessaire. Par exemple, lorsqu’une nouvelle application ou un nouveau processus d’entreprise est créé, les équipes de confidentialité doivent comprendre si l’application ou le processus business traite des données personnelles ou non. Pour ce faire, les évaluations préalables sont envoyées aux propriétaires de l’application d’entreprise ou du processus d’entreprise. Une fois l’évaluation approuvée par le responsable de la confidentialité, une activité de traitement est créée.
- Évaluation des facteurs relatifs à la vie privée : Après une évaluation préalable, une évaluation des facteurs relatifs à la vie privée peut être générée en fonction des réponses. Une évaluation de l’impact sur la confidentialité est une évaluation complète de la façon dont une application, un système ou un processus d’entreprise affecte la confidentialité des données personnelles. Il évalue les risques d’atteinte à la vie privée associés aux activités de traitement et identifie les mesures à prendre pour atténuer ces risques. Chaque fois qu’une évaluation de l’impact sur la confidentialité est effectuée, les risques sont réexaminés pour déterminer si le score de risque a changé. Cela aide les équipes de protection de la vie privée à rester vigilantes et à gérer les risques si nécessaire.
Remarque :
Pour utiliser Moteur d'évaluation intelligent, vous devez activer la propriété située sous les sn_privacy.enable_smart_assessment propriétés système.
Avantages de l’utilisation de la nouvelle expérience d’évaluation
La nouvelle expérience d’évaluation offre les avantages suivants.
- Capturez toutes les informations requises pendant l’évaluation, éliminant ainsi la nécessité d’ajouter manuellement des détails à l’activité de traitement.
- Capturez la hiérarchie ou le flux des données et spécifiez d’où viennent les données et où elles vont.
- Collecter la base légale de la collecte et du traitement des données.
- Créer plusieurs sections pour un regroupement logique de questions
- Migrer les évaluations à partir de systèmes plus anciens.
- Fournir des conseils en ligne pour les questions.
- Réaffecter l’évaluation au répondant approprié.
- Créez des modèles hautement configurables.
Types de modèles d’évaluation
Pour effectuer la sélection et les évaluations d’impact, vous avez besoin de modèles d’évaluation. Bien que les modèles d’évaluation soient basés sur le Moteur d'évaluation intelligent, des configurations supplémentaires sont fournies pour les utilisateurs de Gestion de la confidentialité. Par défaut, deux modèles d’évaluation, Évaluation du contrôle de la confidentialité [V3] et Évaluation de l’impact sur la confidentialité [V3] sont fournis pour effectuer des évaluations intelligentes. Certaines différences importantes entre ces modèles et les configurations supplémentaires sont expliquées comme suit.
- Évaluation du contrôle de la confidentialité
- Pour un modèle d’évaluation préalable, il y a trois sections :
- Général : dans cette section, vous spécifiez la catégorie de modèle d’évaluation en tant que Catégorie de confidentialité et spécifiez également les cibles d’évaluation. Pour une évaluation préalable, les cibles de l’évaluation sont les entités et les tâches de confidentialité.
- Questions : cette section contient des questions pour les répondants à l’évaluation. Cette section contient également des éléments de données qui sont des unités d’information uniques qui représentent un attribut ou une caractéristique spécifique d’une personne concernée ou d’une entité. Les exemples d’éléments de données sont le nom, l’adresse e-mail, la date de naissance, etc. Dans cette section, vous trouverez également une section intitulée Facteurs de criticité et ces questions sont utilisées pour calculer le score de criticité.
- Automatisations : dans cette section, vous pouvez définir les règles qui permettent la création automatique d’activités de traitement en fonction des réponses aux questions. Cette section utilise Studio de workflow. Ces automatisations sont mappées à leurs questions pertinentes. L’automatisation rationalise divers processus, y compris l’application des déclarations de risque et des objectifs de contrôle basés sur les réponses des utilisateurs. Lorsque les utilisateurs sélectionnent des réponses spécifiques au cours d’une évaluation, le système applique automatiquement les risques et les contrôles appropriés aux enregistrements pertinents. Par exemple, considérez une politique organisationnelle stipulant que les données personnelles ne peuvent être transférées en dehors de l’UE qu’avec un consentement explicite. Au cours d’une évaluation, si un utilisateur indique que des données sont transférées en dehors de l’UE, le système appliquera automatiquement le risque de transfert de données à l’activité de traitement : Attribuer un consentement explicite comme contrôle pour atténuer le risque identifié. Cette automatisation garantit la cohérence, permet de gagner du temps et de réduire la probabilité d’erreur humaine dans la gestion des risques et des contrôles.
Figure 1. Évaluation du contrôle de la confidentialité - Évaluation de l’impact sur la confidentialité
- Pour un modèle d’évaluation de l’impact sur la confidentialité comme le modèle d’évaluation de sélection, vous disposez des sections Général et Questions , et bien que par défaut, la section Automatisations soit présente, elle ne contient aucune automatisation prédéfinie. Vous pouvez ajouter des automatisations si vous en avez besoin. Pour un modèle d’analyse d’impact, en plus du questionnaire, vous pouvez ajouter les éléments de données personnelles. Pour en savoir plus sur la configuration d’un modèle d’évaluation de l’impact, reportez-vous à la section Configurer des modèles d’évaluations intelligentes pour les évaluations de l’impact.
Figure 2. Écran d’évaluation de l’impact sur la confidentialité
Remarque :
Seuls les modèles publiés sont disponibles pour les évaluations.
Examen d’une évaluation
Lorsque les analystes de la confidentialité reçoivent une évaluation, ils l’examinent. Au cours de la révision, il peut soit demander une révision de l’évaluation, soit l’approuver directement. Pendant l’état Examen , les gestionnaires de la confidentialité peuvent afficher les éléments suivants :
La figure suivante affiche les détails de l’évaluation.- Objets d’information : L’onglet Objets d’information affiche les objets d’information identifiés dans le cadre de l’évaluation préalable.
- Hiérarchie : hiérarchie de l’origine et de la destination des données.
- Résultats : l’onglet Résultats affiche la définition du risque et les objectifs de contrôle associés à l’évaluation.