Gestion de la confidentialité Vue d’ensemble de la solution

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • La Gestion de la confidentialité solution vous fournit un cadre de travail pour gérer vos bibliothèques spécifiques à la confidentialité, telles que les citations, les politiques, les objectifs de contrôle, les déclarations de risque, les évaluations des facteurs sur la confidentialité et les évaluations des risques pour la confidentialité. Il fournit également des enregistrements d’activité de traitement permettant de suivre le risque de confidentialité et la posture de conformité d’une application d’entreprise ou d’un processus métier en appliquant et en surveillant les risques et contrôles pertinents.

    Avant de planifier votre programme de confidentialité, assurez-vous de configurer les bibliothèques de confidentialité conformément aux réglementations en matière de confidentialité que vous prévoyez d’implémenter. Pour plus d’informations sur la configuration de la bibliothèque, reportez-vous à Gérer la Gestion de la confidentialité bibliothèquela section .

    La figure suivante illustre la Gestion de la confidentialité solution.
    Figure 1. Vue d’ensemble de la solution Privacy Management
    Vue d’ensemble de la solution de gestion de la confidentialité.

    La Gestion de la confidentialité solution est décrite comme suit.

    Créer une bibliothèque

    En tant que gestionnaire de la confidentialité, avec le rôle sn_privacy.manager, ou administrateur de la confidentialité, avec le rôle, sn_privacy.admin, vous devez configurer vos bibliothèques à l’aide des éléments suivants.
    • Évaluations de l’impact sur la confidentialité
    • Objets d’informations personnelles
    • Réglementations en matière de confidentialité, documents de référence, contenus des documents de référence et objectifs de contrôle.
    • Politiques et procédures de confidentialité
    • Déclarations de risque de confidentialité

    Évaluations de l’impact sur la confidentialité

    1. Détecter l’inventaire : en tant que gestionnaire de la confidentialité, avec le rôle sn_privacy.manager, identifiez ou détectez l’inventaire tel que les processus business, les applications d’entreprise, les fournisseurs et les services d’entreprise qui traitent des données personnelles. Tout cet inventaire est stocké dans les tables respectives Base de données de gestion des configurations (CMDB) . Les propriétaires d’entreprise respectifs gèrent l’inventaire. En tant que gestionnaire de la confidentialité, utilisez la fonctionnalité Types d’entité et créez une entité pour chaque enregistrement d’inventaire. Pour en savoir plus sur les types d’entité, reportez-vous à la rubrique Exploration des entités. À ce stade, en fonction de la méthode de détection, vous pouvez utiliser l’une des approches suivantes pour créer des activités de traitement.
      1. Rechercher des processus business ou des applications qui traitent des données personnelles : utilisez cette approche lorsque des processus business, des applications, des services ou des fournisseurs sont associés à des objets d’informations. À l’aide de la fonctionnalité de type d’entité, recherchez les entités qui traitent les objets d’informations [PI]. En fonction des résultats de la recherche, créez directement les enregistrements d’activité de traitement. Cette approche n’est utilisée que lorsque les propriétaires d’entreprise associent l’inventaire à des objets d’informations. Pour plus d'informations, consultez Définition du champ d’application d’une entité pour planifier un programme de confidentialité.
      2. Envoyer des évaluations de contrôle de la confidentialité : utilisez cette approche lorsque les objets d’informations ne sont pas associés à l’inventaire, tels que les applications et les processus d’entreprise. Dans le cadre de cette approche, envoyez des évaluations de contrôle de la confidentialité aux propriétaires d’entreprise respectifs. Ces évaluations préalables contiennent des questions de base. Voici quelques exemples de questions :
        • Traitez-vous des informations personnelles dans le cadre du processus commercial ou de l’application dont vous êtes propriétaire ?
        • Quel type d’informations personnelles traitez-vous ? Par exemple, e-mail, téléphone et adresse.
        Si les réponses de l’évaluation déterminent qu’il existe des données personnelles, des activités de traitement sont créées automatiquement.
    2. Les utilisateurs métiers peuvent soumettre de manière proactive des évaluations de l’impact sur la Centre des employésconfidentialité pour les nouvelles applications et les nouveaux processus à partir du .

    Gérer et mettre à jour les activités de traitement

    1. Créer ou mettre à jour une activité de traitement : en tant qu’analyste de la confidentialité, avec le rôle sn_privacy.analyst, envoyez une évaluation de l’impact sur la confidentialité (PIA) à l’activité de traitement ou aux propriétaires d’entreprise après la création d’une activité de traitement. L’évaluation des facteurs relatifs à la vie privée permet de comprendre pourquoi et comment l’activité de traitement traite les renseignements personnels. L’évaluation recueille des informations telles que la justification du stockage des données PI, l’échange de données PI avec d’autres systèmes et la sécurité des données PI.
    2. Envoyer ou initier automatiquement l’EFVP : en tant qu’analyste de la protection de la vie privée, envoyez une évaluation des facteurs relatifs à la vie privée (EFVP) à partir d’une activité de traitement chaque fois que vous devez recueillir plus d’informations. Vous pouvez également lancer automatiquement les évaluations en fonction de la fréquence du programme de confidentialité définie par le gestionnaire et l’administrateur de la confidentialité. Un calendrier de lancement automatique peut être créé à l’aide des Now Platform options.
    3. Appliquer les risques et les contrôles liés à l’activité de traitement : en tant qu’analyste de la protection de la vie privée, une fois que vous avez compris comment les renseignements personnels sont utilisés dans le cadre de l’activité de traitement, les déclarations de risque, les contrôles, les politiques et les documents de référence nécessaires sont automatiquement appliqués aux activités de traitement en fonction des réponses de l’évaluation. Pour en savoir plus sur la configuration des évaluations, consultez Créer un modèle d’évaluation. Une fois les contrôles ajoutés, l’analyste de la confidentialité peut examiner les contrôles et ajouter ou supprimer les contrôles si nécessaire.
    4. Envoyer des attestations de contrôle : une fois que l’ensemble final de contrôles est associé à l’activité de traitement, les attestations de contrôle sont envoyées aux propriétaires de processus business ou aux propriétaires d’applications pour collecter les preuves pour chaque contrôle appliqué. Lorsque les propriétaires d’entreprise répondent aux attestations de contrôle avec des preuves pour chaque contrôle, les contrôles conformes et non conformes sont identifiés. Cette identification détermine la posture de conformité de l’activité de traitement.
    5. Signaler et surveiller les problèmes : les problèmes sont créés automatiquement pour les contrôles non conformes et sont affectés à leurs propriétaires d’entreprise respectifs. L’analyste de la confidentialité surveille les problèmes.
    6. Gérer les problèmes : pour gérer les problèmes, les propriétaires d’entreprise peuvent effectuer l’une des actions suivantes :
      • Résoudre le problème : la résolution du problème rend le contrôle conforme.
      • Émettre une exception de politique : une exception est émise pour un problème qui ne peut pas être résolu immédiatement. Les analystes de la confidentialité peuvent examiner les exceptions de politique et accepter ou rejeter les exceptions en fonction de la criticité du problème.
    7. Surveillance continue des contrôles : les analystes de la confidentialité surveillent en permanence les contrôles d’une activité de traitement à l’aide de la fonctionnalité d’indicateur. Pour plus d’informations sur les indicateurs, consultez Indicateurs de risque, indicateurs de contrôle et modèles d’indicateurs.

    Évaluer la criticité des activités de traitement

    Le score de criticité fournit la situation vis-à-vis du risque au niveau de l’activité de traitement en évaluant les facteurs au niveau de l’activité de traitement. Lorsqu’une activité de traitement est créée ou mise à jour, une évaluation de criticité est effectuée sur l’activité de traitement pour comprendre le score de risque élevé ou le score de criticité.

    Effectuer des évaluations des risques pour la confidentialité

    Les évaluations des risques pour la confidentialité sont des évaluations détaillées qui sont effectuées si le score de criticité est élevé. Évaluez chaque risque associé à l’activité de traitement et connaissez le score de risque agrégé sur l’activité de traitement. Après avoir évalué les risques pour la confidentialité, vous pouvez afficher la situation en matière de risque pour la confidentialité sur la carte thermique des risques dans la section de présentation. Les cartes thermiques fournissent des informations détaillées sur vos risques inhérents et résiduels.