Définition du champ d’application de l’entité pour planifier un programme de confidentialité
Lorsqu’un responsable de la protection de la vie privée planifie le programme de confidentialité d’une organisation, la première étape consiste à définir le périmètre des applications ou processus d’entreprise qui contiennent des données personnelles. Dans Gouvernance, risque et conformité, ces applications d’entreprise ou processus d’entreprise sont appelés en tant qu’entités. Une fois que vous avez identifié les entités qui traitent les données personnelles, les activités de traitement sont automatiquement créées.
Un responsable de la confidentialité, avec le rôle sn_privacy_manager, planifie divers programmes de confidentialité. Voici quelques exemples de programmes de protection de la vie privée :
- identifiant l’ensemble des processus business et des fournisseurs qui traitent les données personnelles des clients ;
- Identification des applications d’entreprise qui traitent les données personnelles des employés.
Vous pouvez identifier ou détecter des entités qui traitent des données personnelles à l’aide de l’une des méthodes suivantes.
- Filtrer les entités soit en découvrant les activités de traitement par leur utilisation des informations personnelles.
- Envoi des évaluations initiales de la confidentialité
- Découvrir les activités de traitement par leur utilisation des informations personnelles
- Au niveau de l’inventaire, lorsque les processus de gestion, les applications d’entreprise et d’autres enregistrements d’inventaire sont mappés avec des objets d’informations de type Informations personnelles (PI), le gestionnaire de la confidentialité peut détecter les enregistrements qui traitent des informations de PI spécifiques. Pour plus d’informations sur les objets d’informations et leur rôle dans , reportez-vous à Gestion de la confidentialitéla section Objets d’informations dans Gestion de la confidentialité.
- L’image suivante montre un processus de gestion auquel des objets d’informations sont associés. Pour identifier ces applications d’entreprise ou processus associés aux objets d’informations, la fonctionnalité améliorée de filtre d’entité de la fonctionnalité de définition du champ d’application des entités est utilisée. Pour plus d'informations, consultez Entités du champ d’application pour détecter les activités de traitement avec des informations personnelles.
Figure 1. Processus business avec objets d’informations associés - Identifier les entités potentielles et envoyer les évaluations initiales de la confidentialité
- Si les objets d’informations ne sont pas mappés aux applications ou processus d’entreprise, vous pouvez envoyer des évaluations initiales de la confidentialité à toutes les entités et utiliser leurs réponses pour déterminer si des données personnelles sont traitées. Les étapes pour envoyer l’évaluation sont les suivantes :
- Créez un type d’entité. Par exemple, les processus business qui traitent les informations personnelles des clients ou les applications business qui stockent les informations des employés.
- Identifiez les entités à l’aide du type d’entité que vous avez créé.
- Sélectionnez les entités pertinentes et envoyez les évaluations de contrôle de la confidentialité aux propriétaires d’entités respectifs.
- En fonction des réponses, les activités de traitement sont créées automatiquement lorsque les questions pertinentes reçoivent une réponse.
Figure 2. Envoi des évaluations de la confidentialité aux entités