Définition du champ d’application d’une entité pour planifier un programme de confidentialité
Lorsqu’un gestionnaire de la protection de la vie privée planifie le programme de protection de la vie privée d’une organisation, la première étape consiste à définir le champ d’application des applications ou des processus d’entreprise qui contiennent des données personnelles. Dans Gouvernance, risque et conformité, ces applications d’entreprise ou processus d’entreprise sont appelés en tant qu’entités. Une fois que vous avez identifié les entités qui traitent les données personnelles, les activités de traitement sont automatiquement créées.
Un gestionnaire de la protection de la vie privée, ayant le rôle sn_privacy_manager, planifie divers programmes de protection de la vie privée. Voici quelques exemples de programmes de protection de la vie privée :
- Identifier l’ensemble des processus business et des fournisseurs qui traitent les données personnelles des clients.
- Identification des applications d’entreprise qui traitent les données personnelles des employés.
Vous pouvez identifier ou détecter les entités qui traitent des données personnelles à l’aide de l’une des méthodes suivantes.
- Filtrer les entités soit en découvrant les activités de traitement par leur utilisation des informations personnelles.
- Envoi des évaluations initiales de la confidentialité.
- Découvrir les activités de traitement par leur utilisation des informations personnelles
- Au niveau de l’inventaire, lorsque les processus business, applications d’entreprise et autres enregistrements d’inventaire sont mappés avec des objets d’informations de type Informations personnelles (PI), le gestionnaire de la confidentialité peut détecter les enregistrements qui traitent des informations PI spécifiques. Pour en savoir plus sur les objets d’informations et leur rôle dans , reportez-vous à Gestion de la confidentialitéla section Objets d’informations dans Gestion de la confidentialité.
- L’image suivante montre un processus business auquel des objets d’informations sont associés. Pour identifier ces applications d’entreprise ou processus associés à des objets d’informations, l’option de filtre d’entité améliorée de la fonctionnalité de définition du champ d’application des entités est utilisée. Pour plus d'informations, consultez Entités du champ d’application permettant de détecter les activités de traitement comportant des informations personnelles.
Figure 1. Processus de gestion avec objets d’informations associés - Identifier les entités potentielles et envoyer les évaluations initiales de la confidentialité
- Si les objets d’informations ne sont pas mappés aux applications ou aux processus d’entreprise, vous pouvez envoyer des évaluations initiales de la confidentialité à toutes les entités et utiliser leurs réponses pour déterminer si des données personnelles sont en cours de traitement. Les étapes pour envoyer l’évaluation sont les suivantes :
- Créez un type d’entité. Par exemple, les processus business qui traitent les informations personnelles des clients ou les applications d’entreprise qui stockent les informations des employés.
- Identifiez les entités à l’aide du type d’entité que vous avez créé.
- Sélectionnez les entités pertinentes et envoyez les évaluations du contrôle de la confidentialité aux propriétaires d’entités respectifs.
- Sur la base des réponses, des activités de traitement sont créées automatiquement lorsque des questions pertinentes sont répondues.
Figure 2. Envoi des évaluations de la confidentialité aux entités