Tes réponses "oui" engageront ta responsabilité; GDPR amène le principe de co-responsabilité, en cas de pépin (manque de consentement, manquement aux procédures d'accès, rectification ou suppression des données, manquement aux procédures de plaintes, vol de données personnelles, etc.) le contrôleur de données et le sous-traitant sont tenus responsables tous les deux. Si le problème vient du fait que le sous-traitant (a priori toi) n'est en fait pas conforme aux lois, règles et principes comment demandé en 6.3.2, ton client ne sera sans doute pas sanctionné, alors que toi tu vas prendre cher.

 

Pour d'autres, tu dois/devrais fournir un minimum de détails. D'ailleurs dans ta liste, à part 6.3.2, ils demandent des détails pour tout et ne se satisferont a priori pas d'un "oui".

Le point 6.3.3 est intéressant parce qu'en gros, si tu n'as pas cartographié toutes tes données, tu ne peux pas vraiment répondre à la question. Donc c'est chiant, mais cartographier les données est l'une des premières choses à faire pour GDPR.

 

Bon courage \o/

 

--
Benjamin

 

From: FRsAG <frsag-bounces@frsag.org> On Behalf Of Nono
Sent: Monday, 30 April, 2018 04:57
To: frsag@frsag.org
Subject: [FRsAG] Dossier GDPR - type et format de réponse

 

Bonjour la liste,

Pour les retardataires -comme moi- qui doivent rendre les informations suivantes d'ici fin de semaine prochaine, avez-vous eu un quelconque support / format à utiliser ?

J'avoue que certaines question peuvent se répondre par un "oui" et je ne voudrais pas décevoir nos administrations et les soustraites d'un bon dossier de 50 pages dont la conclusion sera tout de même "oui" ;-)

6.3.1      Data Protection

6.2.1      Confirmation that your Company holds a valid notification or registration with the applicable national data protection regulator to cover its handling and use of personal data. Please provide a copy and details as to the exact nature of the processing and use of personal data by any Company

6.3.2      Confirmation your Company has complied with applicable data protection legislation, regulations and principles

6.3.3      Details of any challenges by any third parties (individuals, organisations or regulators) to the use by each Company of personal data.

6.3.4      Details of any arrangements by which personal data is transferred by a Company for processing outside the European Economic Area (including intra-group transfers).

6.3.5      A copy of any written data protection policy or compliance statement issued by a Company.