diff --git a/config/packages/framework.yaml b/config/packages/framework.yaml
index ecf7805b480dfbf838f537982e33ecd6b7f5f66c..890ae7b54dd67aab028f530a36bbe0c6934294a5 100644
--- a/config/packages/framework.yaml
+++ b/config/packages/framework.yaml
@@ -1,5 +1,5 @@
parameters:
- app.version: "1.10.15"
+ app.version: "1.10.16"
framework:
secret: '%env(APP_SECRET)%'
diff --git a/fixtures/3-conformite-organisation-2-question.yaml b/fixtures/3-conformite-organisation-2-question.yaml
index 2745942414b528d00bedb65b424871efc065b3fd..2415ef6a322c20d8fdea611a5c21688cf642a82b 100644
--- a/fixtures/3-conformite-organisation-2-question.yaml
+++ b/fixtures/3-conformite-organisation-2-question.yaml
@@ -6,7 +6,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_2:
processus: '@processus_1'
position: 2
- nom: "L'entreprise a identifié son DPO ou son référent DPO. Dans les deux cas, il dispose des compétences nécessaires et/ou a reçu une formation. Sa mission est reconnue, positionnée et légitimée dans l'organisation. Il existe une fiche de mission qui formalise ses rôles responsabilités et précise les temps et ressources alloués. Lorsque les tâches du DPO sont réparties sur plusieurs personnes, la répartition des activités est claire."
+ nom: "La structure a identifié son DPO ou son référent DPO. Dans les deux cas, il dispose des compétences nécessaires et/ou a reçu une formation. Sa mission est reconnue, positionnée et légitimée dans l'organisation. Il existe une fiche de mission qui formalise ses rôles responsabilités et précise les temps et ressources alloués. Lorsque les tâches du DPO sont réparties sur plusieurs personnes, la répartition des activités est claire."
conformite_organisation_question_3:
processus: '@processus_1'
position: 3
@@ -18,7 +18,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_5:
processus: '@processus_2'
position: 1
- nom: "L'entreprise dispose d'un registre des traitements. Le registre renseigne sur les critères minimum précisé à l'article 30 du règlement : nom du responsable du traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et les catégories de DCP, les catégories de destinataires, les transferts de données à caractère personnel vers un pays tiers, les délais prévus pour l'effacement, une description générale des mesures de sécurité."
+ nom: "La structure dispose d'un registre des traitements. Le registre renseigne sur les critères minimum précisé à l'article 30 du règlement : nom du responsable du traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et les catégories de DCP, les catégories de destinataires, les transferts de données à caractère personnel vers un pays tiers, les délais prévus pour l'effacement, une description générale des mesures de sécurité."
conformite_organisation_question_6:
processus: '@processus_2'
position: 2
@@ -32,7 +32,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_8:
processus: '@processus_2'
position: 4
- nom: "L'entreprise dispose des connaissances nécessaires pour gérer les transferts de Données à Caractère Personnel, transfrontaliers UE, vers des pays tiers ou des organisations internationales .L'inventaire de ces transferts est tenu à jour.
+ nom: "La structure dispose des connaissances nécessaires pour gérer les transferts de Données à Caractère Personnel, transfrontaliers UE, vers des pays tiers ou des organisations internationales .L'inventaire de ces transferts est tenu à jour.
(Lien sur la protection des données dans le monde : <a target=\"_blank\" href=\"https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde\">https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde</a>)"
conformite_organisation_question_9:
processus: '@processus_3'
@@ -88,15 +88,15 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_21:
processus: '@processus_6'
position: 1
- nom: "L'entreprise dispose d'un document (Politique de sécurité du système d'information - PSSI) qui rassemble l'ensemble des mesures de sécurité appliquées."
+ nom: "La structure dispose d'un document (Politique de sécurité du système d'information - PSSI) qui rassemble l'ensemble des mesures de sécurité appliquées."
conformite_organisation_question_22:
processus: '@processus_6'
position: 2
- nom: "Il existe un responsable de la sécurité ou un référent sécurité de l'information. Cette personne est clairement identifiée au sein de l'entreprise. Ses responsabilités couvrent la disponibilité, l'intégrité et la confidentialité de l'information. Elles font l'objet d'une fiche de poste ou d’une lettre de mission."
+ nom: "Il existe un responsable de la sécurité ou un référent sécurité de l'information. Cette personne est clairement identifiée au sein de la structure. Ses responsabilités couvrent la disponibilité, l'intégrité et la confidentialité de l'information. Elles font l'objet d'une fiche de poste ou d’une lettre de mission."
conformite_organisation_question_23:
processus: '@processus_6'
position: 3
- nom: "L'entreprise est organisée pour détecter et gérer les incidents de sécurité. Les incidents sont historisés et partagés avec le DPO pour déterminer s'il s'agit d'une violation de données."
+ nom: "La structure est organisée pour détecter et gérer les incidents de sécurité. Les incidents sont historisés et partagés avec le DPO pour déterminer s'il s'agit d'une violation de données."
conformite_organisation_question_24:
processus: '@processus_6'
position: 4
@@ -162,7 +162,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
processus: '@processus_7'
position: 3
nom: "Conformément à l'article 35 et aux lignes directrices PIA, les nouveaux traitements de DCP \"à risque élevé\" de type activités de contrôle des personnes, évaluations systématiques font l'objet d'une analyse.
- L'entreprise a pris connaissance du document \"liste-traitements-avec-aipd-requise\" publié par la CNIL."
+ La structure a pris connaissance du document \"liste-traitements-avec-aipd-requise\" publié par la CNIL."
conformite_organisation_question_37:
processus: '@processus_7'
position: 4
@@ -174,7 +174,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_39:
processus: '@processus_8'
position: 2
- nom: "Les catégories de collaborateurs directement impliqués dans les traitements de DCP bénéficient de formations ou des sensibilisations spécifiques centrées sur les principes qui les concernent : gestion du consentement, privacy by design, privacy by default, protection contre les traitements non autorisés, exactitude, gestion des droits, violtion de données.."
+ nom: "Les catégories de collaborateurs directement impliqués dans les traitements de DCP bénéficient de formations ou des sensibilisations spécifiques centrées sur les principes qui les concernent : gestion du consentement, privacy by design, privacy by default, protection contre les traitements non autorisés, exactitude, gestion des droits, violation de données..."
conformite_organisation_question_40:
processus: '@processus_8'
position: 3
@@ -186,19 +186,19 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_42:
processus: '@processus_9'
position: 1
- nom: "L'entreprise veille de manière récurrente sur les évolutions de la réglementation comme par exemple: le transfert de données hors UE, les icônes normalisés, les spécificités nationales pour le seuil d'âge des mineurs, le consentement parental pour les données hors ligne, la publication de nouveaux codes de conduite, les certifications ou encore les labels."
+ nom: "La structure veille de manière récurrente sur les évolutions de la réglementation comme par exemple: le transfert de données hors UE, les icônes normalisés, les spécificités nationales pour le seuil d'âge des mineurs, le consentement parental pour les données hors ligne, la publication de nouveaux codes de conduite, les certifications ou encore les labels."
conformite_organisation_question_43:
processus: '@processus_9'
position: 2
- nom: "L'entreprise a clairement identifié une expertise juridique interne ou externe, spécialisée dans le RGPD et ses périmètres connexes comme par exemple les spécifications juridiques locales."
+ nom: "La structure a clairement identifié une expertise juridique interne ou externe, spécialisée dans le RGPD et ses périmètres connexes comme par exemple les spécifications juridiques locales."
conformite_organisation_question_44:
processus: '@processus_9'
position: 3
- nom: "L’entreprise dispose d'un processus lui permettant de réagir en cas de sollicitation ou de poursuite : disponibilité de preuves opposables, ressources juridiques identifiées, plan de communication interne et externe, contrat d'assurance spécifique."
+ nom: "La structure dispose d'un processus lui permettant de réagir en cas de sollicitation ou de poursuite : disponibilité de preuves opposables, ressources juridiques identifiées, plan de communication interne et externe, contrat d'assurance spécifique."
conformite_organisation_question_45:
processus: '@processus_9'
position: 4
- nom: "Conformément à de multiples articles du RGPD, en cas de violation avérée, l'entreprise est organisée pour analyser et notifier l'incident auprès de l'autorité de contrôle au plus tard dans les 72 h, et si nécessaire en informer les personnes concernées. Elle serait en capacité de produire un bilan décrivant les circonstances, la chronologie, les dommages et leurs conséquences, les actions correctives décidées. Il existe un registre des violations."
+ nom: "Conformément à de multiples articles du RGPD, en cas de violation avérée, la structure est organisée pour analyser et notifier l'incident auprès de l'autorité de contrôle au plus tard dans les 72 h, et si nécessaire en informer les personnes concernées. Elle serait en capacité de produire un bilan décrivant les circonstances, la chronologie, les dommages et leurs conséquences, les actions correctives décidées. Il existe un registre des violations."
conformite_organisation_question_46:
processus: '@processus_10'
position: 1
@@ -226,7 +226,7 @@ App\Domain\Registry\Model\ConformiteOrganisation\Question:
conformite_organisation_question_52:
processus: '@processus_11'
position: 3
- nom: "Conformément à l'article 47, les groupes d'entreprises engagées dans une activité économique conjointe ayant définis des codes de conduite, ou des règles d'entreprise contraignantes) doivent préciser la procédure de validation et de révision de leur contenu par le responsable du traitement."
+ nom: "Conformément à l'article 47, les groupes d'organisations engagées dans une activité conjointe ayant définis des codes de conduite doivent préciser la procédure de validation et de révision de leur contenu par le responsable du traitement."
conformite_organisation_question_53:
processus: '@processus_11'
position: 4
diff --git a/migrations/Version20200630083312.php b/migrations/Version20200630083312.php
index 342013dde3d01e89f0c1ed0c4faff04568f971dc..047525d6a93c49e1fb8cb3e0edd2dac1df283b2c 100644
--- a/migrations/Version20200630083312.php
+++ b/migrations/Version20200630083312.php
@@ -56,11 +56,11 @@ final class Version20200630083312 extends AbstractMigration
('0f577c2c-6321-473c-9eba-314d37a6ed76', 'Exigences, sollicitations, violations, poursuites', 'info', 'Connaître la réglementation applicable et ses évolutions. Etre en capacité de répondre à des sollicitations ou à des poursuites. Réagir en cas de violations de données', 9),
('105725eb-f536-458b-a5ab-a054e513271e', 'Protection des données dès la conception', 'info', 'Garantir que la gestion des droits de la personne concernée et la sécurité des données sont prises en compte dès la phase de conception du projet et durant son cycle de vie. Maîtriser la conformité du produit ou du service aux exigences du RGPD au travers de vérifications, de validations et de revues de conception planifiée.', 5),
('298beb95-4df0-4e5b-b3a2-109e4c14adb7', 'Analyse d\'impacts sur la protection des données', 'info', 'Réaliser une évaluation d\'impact sur la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés ou lorsqu\'une partie intéressée demande une preuve de conformité.', 7),
- ('2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'Sous-traitants', 'info', 'En tant que responsable du traitement, s\'assurer de la conformité des contrats de sous-traitance Si l\'entreprise agit en tant que sous-traitant, s\'assurer que le responsable du traitement a pris en compte ses obligations', 4),
+ ('2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'Sous-traitants', 'info', 'En tant que responsable du traitement, s\'assurer de la conformité des contrats de sous-traitance Si la structure agit en tant que sous-traitant, s\'assurer que le responsable du traitement a pris en compte ses obligations', 4),
('36c824ed-5e07-4170-848b-27881546461c', 'Traitements et transferts de données', 'info', 'Disposer d’un registre des activités de traitement à jour. S\'assurer que les mesures de conformité des traitements de DCP sont effectivement prises en compte en cas de traitements nouveaux ou modifiés. Gérer les transferts de données', 2),
- ('4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Gestion des mesures de sécurité', 'info', 'En relation avec la fonction sécurité de l\'information de l\'entreprise, mettre en œuvre les mesures de protection sélectionnées afin de répondre aux objectifs de disponibilité, d’intégrité et de confidentialité des DCP. Détecter les incidents de sécurité pouvant avoir pour conséquence une violation de données', 6),
+ ('4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Gestion des mesures de sécurité', 'info', 'En relation avec la fonction sécurité de l\'information de la structure, mettre en œuvre les mesures de protection sélectionnées afin de répondre aux objectifs de disponibilité, d’intégrité et de confidentialité des DCP. Détecter les incidents de sécurité pouvant avoir pour conséquence une violation de données', 6),
('631c6904-04fb-43cc-b9df-4bd13524ac03', 'Sensibiliser, former et communiquer', 'info', 'S\'assurer que le personnel à qui ont été affectées les responsabilités définies dans le SMDCP, a les compétences nécessaires pour exécuter les tâches requises. S\'assurer que tout le personnel approprié a conscience de la pertinence et de l\'importance de ses activités liées aux traitements des DCP.', 8),
- ('7d4d0832-8a52-4946-8a91-2910dc9ba448', 'Responsabilités', 'danger', 'Définir et communiquer aux personnes concernées la politique générale de protection des données de l\'entreprise Définir, mettre en œuvre et réexaminer la politique de gestion des données (Processus, ressources, mesures) S’assurer que la politique de gestion des données est communiquée, comprise et appliquée au sein de l’entreprise', 1),
+ ('7d4d0832-8a52-4946-8a91-2910dc9ba448', 'Responsabilités', 'danger', 'Définir et communiquer aux personnes concernées la politique générale de protection des données de la structure Définir, mettre en œuvre et réexaminer la politique de gestion des données (Processus, ressources, mesures) S’assurer que la politique de gestion des données est communiquée, comprise et appliquée au sein de la structure', 1),
('bc571661-dc3c-4860-8682-bf9318236998', 'Piloter le SMDCP', 'info', 'Disposer d\'indicateurs pour piloter l\'efficacité des processus du SMDCP. Produire le bilan (rapport) annuel', 12),
('d03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Gérer de la documentation et des preuves', 'info', 'Gérer le patrimoine documentaire attaché à la protection des données Etablir et conserver des enregistrements pour apporter la preuve des mesures techniques et organisationnelles', 11),
('d8b01d99-87ad-4244-af68-1ff4b0ca1c92', 'Évaluer et auditer', 'info', 'A intervalles réguliers, vérifier que le SMDCP est conforme à la politique définie. Apporter la preuve que les traitements effectués par le responsable du traitement et les sous-traitants sont conformes au règlement', 10),
@@ -69,18 +69,18 @@ final class Version20200630083312 extends AbstractMigration
$this->addSql("INSERT IGNORE INTO `registry_conformite_organisation_question` (`id`, `processus_id`, `nom`, `position`) VALUES
('03dfc2d8-bcaa-47d1-85f1-d882db482981', '2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'L\'organisation surveille à intervalles réguliers la conformité des traitements de DCP confiés à des sous-traitants. Pour tout changement majeur, les risques sont réappréciés.', '4'),
- ('059d6c01-25f6-4bee-bdde-d76c49d75299', '7d4d0832-8a52-4946-8a91-2910dc9ba448', 'L\'entreprise a identifié son DPO ou son référent DPO. Dans les deux cas, il dispose des compétences nécessaires et/ou a reçu une formation. Sa mission est reconnue, positionnée et légitimée dans l\'organisation. Il existe une fiche de mission qui formalise ses rôles responsabilités et précise les temps et ressources alloués. Lorsque les tâches du DPO sont réparties sur plusieurs personnes, la répartition des activités est claire.', '2'),
- ('0759b39a-96e3-48ea-8445-5c8290190f42', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'L\'entreprise veille de manière récurrente sur les évolutions de la réglementation comme par exemple: le transfert de données hors UE, les icônes normalisés, les spécificités nationales pour le seuil d\'âge des mineurs, le consentement parental pour les données hors ligne, la publication de nouveaux codes de conduite, les certifications ou encore les labels.', '1'),
- ('07f1c5c9-271c-4559-85ad-dff15f4a3d5e', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Il existe un responsable de la sécurité ou un référent sécurité de l\'information. Cette personne est clairement identifiée au sein de l\'entreprise. Ses responsabilités couvrent la disponibilité, l\'intégrité et la confidentialité de l\'information. Elles font l\'objet d\'une fiche de poste ou d’une lettre de mission.', '2'),
+ ('059d6c01-25f6-4bee-bdde-d76c49d75299', '7d4d0832-8a52-4946-8a91-2910dc9ba448', 'La structure a identifié son DPO ou son référent DPO. Dans les deux cas, il dispose des compétences nécessaires et/ou a reçu une formation. Sa mission est reconnue, positionnée et légitimée dans l\'organisation. Il existe une fiche de mission qui formalise ses rôles responsabilités et précise les temps et ressources alloués. Lorsque les tâches du DPO sont réparties sur plusieurs personnes, la répartition des activités est claire.', '2'),
+ ('0759b39a-96e3-48ea-8445-5c8290190f42', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'La structure veille de manière récurrente sur les évolutions de la réglementation comme par exemple: le transfert de données hors UE, les icônes normalisés, les spécificités nationales pour le seuil d\'âge des mineurs, le consentement parental pour les données hors ligne, la publication de nouveaux codes de conduite, les certifications ou encore les labels.', '1'),
+ ('07f1c5c9-271c-4559-85ad-dff15f4a3d5e', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Il existe un responsable de la sécurité ou un référent sécurité de l\'information. Cette personne est clairement identifiée au sein de la structure. Ses responsabilités couvrent la disponibilité, l\'intégrité et la confidentialité de l\'information. Elles font l\'objet d\'une fiche de poste ou d’une lettre de mission.', '2'),
('08f73e86-54bc-4c3e-bb7e-8bdd65627f23', '631c6904-04fb-43cc-b9df-4bd13524ac03', 'Un plan de formation est établi lorsque la ressource nécessite d\'acquérir de nouvelles connaissances pour avoir la compétence attendue : chef de projet privacy by design, gestionnaire de risque, gestionnaire de contrat.', '3'),
('0a1cdf23-93af-4b9e-8432-696310ae21e8', '631c6904-04fb-43cc-b9df-4bd13524ac03', 'Les messages essentiels de la protection des DCP sont repris régulièrement sous la forme de campagne d\'affichages, de mails, d\'intervention dans les réunions ou sur les réseaux internes. Les opérations de sensibilisation, de formation et de communication sont mesurées et archivées. Les obligations de l\'utilisateur en matière de DCP sont précisées dans la charte informatique.', '4'),
('0b2e1c76-3647-4716-bc21-ceaab7d724ac', 'bc571661-dc3c-4860-8682-bf9318236998', 'L\'ensemble des plans d\'action, plan de traitement, plan de progrès sont consolidés dans un tableau unique afin de s\'assurer de leur réalisation.', '2'),
('11223940-308d-4ae7-8e01-ec280e13caf9', '105725eb-f536-458b-a5ab-a054e513271e', 'Si le traitement entre dans la liste des critères exigeant une évaluation d\'impact sur la vie privée, celle-ci est réalisée avant la mise en production du nouveau service.', '3'),
('138d0538-2f99-4130-ba60-782f5fb7b5e4', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Une gestion de droits d\'accès ou d\'habilitation définit des profils distincts selon les besoins des utilisateurs pour accéder aux données. Il existe une procédure Arrivée/Changement de poste/Départ qui garantit que les comptes utilisateurs sont systématiquement fermés en fin de contrat. Les accès aux applications sont tracés et permettent d\'enregistrer qui accède à quoi.', '9'),
('15aac2da-55d1-4cef-9a1e-edda13d5292a', '2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l\'Union ou du droit d\'un État membre, qui lie le sous-traitant à l\'égard du responsable du traitement, définit l\'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées, les obligations et les droits du responsable du traitement (violation de données).', '1'),
- ('1a8a327a-364d-4ec4-a823-bd41355f1ec5', 'd03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Conformément à l\'article 47, les groupes d\'entreprises engagées dans une activité économique conjointe ayant définis des codes de conduite, ou des règles d\'entreprise contraignantes) doivent préciser la procédure de validation et de révision de leur contenu par le responsable du traitement.', '3'),
+ ('1a8a327a-364d-4ec4-a823-bd41355f1ec5', 'd03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Conformément à l\'article 47, les groupes de structures engagées dans une activité conjointe ayant définis des codes de conduite doivent préciser la procédure de validation et de révision de leur contenu par le responsable du traitement.', '3'),
('1ec9260f-5fe9-4941-8b64-54af475227c3', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Les contrats passés avec les hébergeurs de données intègrent un plan d\'assurance sécurité : clause de réversibilité, signalement en cas de violation de données, test d\'intrusion.', '11'),
- ('1ff4bdbb-3ae2-43aa-9414-f3d4306cd45e', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'L\'entreprise dispose d\'un document (Politique de sécurité du système d\'information - PSSI) qui rassemble l\'ensemble des mesures de sécurité appliquées.', '1'),
+ ('1ff4bdbb-3ae2-43aa-9414-f3d4306cd45e', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'La structure dispose d\'un document (Politique de sécurité du système d\'information - PSSI) qui rassemble l\'ensemble des mesures de sécurité appliquées.', '1'),
('25dcc0cc-d8f6-405f-b113-d9dcfd543e38', '2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'L\'organisation dispose de la liste exhaustive des sous-traitants à qui elle a délégué des traitements de DCP. Le gestionnaire de ces contrats est clairement identifié.', '3'),
('29f1b0ea-89fe-4a60-bf53-86ca9e3ab62c', '298beb95-4df0-4e5b-b3a2-109e4c14adb7', 'L\'organisation dispose d\'une méthode formalisée d\'analyse de risque : Outillage de la CNIL ou d\'une autre autorité : ISO 31000, ISO 27005, AMDEC, EBIOS, HAZOP,HACCP, MEHARI, qu\'elle saurait utiliser pour réaliser l\'analyse d\'impacts sur la protection des données', '1'),
('35ac00b4-5904-40c8-bdc3-56822de57b1e', '2fc0935e-1ca2-4fa3-a9d5-f19973a2a7e3', 'Le sous-traitant ne recrute pas un autre sous-traitant sans l\'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d\'une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l\'ajout ou le remplacement d\'autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d\'émettre des objections à l\'encontre de ces changements.', '2'),
@@ -91,25 +91,25 @@ final class Version20200630083312 extends AbstractMigration
('4c9612dd-b80e-47d7-b2b7-0dd38b9853ae', 'd8b01d99-87ad-4244-af68-1ff4b0ca1c92', 'Tout rapport d\'évaluation ou d\'audit fait l\'objet d\'un plan d\'action correctif et préventif dont la réalisation est contrôlée par le DPO ou le référent DPO. Ces rapports sont intégrés dans le bilan annuel du DPO ou du référent DPO.', '4'),
('513c6359-57c4-47ec-95a3-e4250bdc183e', '36c824ed-5e07-4170-848b-27881546461c', 'A chaque traitement est associé un gestionnaire. Tout nouveau traitement est signalé par le gestionnaire au DPO ou au référent DPO pour mise à jour du registre. Tout traitement ultérieur est porté à la connaissance du DPO ou du référent DPO pour avis puis partagé par la gouvernance.', '2'),
('59516cd9-cb49-4f58-836b-d59f0fa09e77', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Lorsque des mobiles multifonctions (smartphone), ordinateurs portables ou clé USB sont utilisés, leur usage est encadré. Les utilisateurs en situation de mobilité sont sensibilisés au vol, à l\'écoute et à l\'observation passive. Lorsque cela est justifié, les données sont chiffrées sur les équipements ou supports mobiles.', '6'),
- ('61c564e2-de14-47ca-9439-c8960750884f', '631c6904-04fb-43cc-b9df-4bd13524ac03', 'Les catégories de collaborateurs directement impliqués dans les traitements de DCP bénéficient de formations ou des sensibilisations spécifiques centrées sur les principes qui les concernent : gestion du consentement, privacy by design, privacy by default, protection contre les traitements non autorisés, exactitude, gestion des droits, violtion de données..', '2'),
+ ('61c564e2-de14-47ca-9439-c8960750884f', '631c6904-04fb-43cc-b9df-4bd13524ac03', 'Les catégories de collaborateurs directement impliqués dans les traitements de DCP bénéficient de formations ou des sensibilisations spécifiques centrées sur les principes qui les concernent : gestion du consentement, privacy by design, privacy by default, protection contre les traitements non autorisés, exactitude, gestion des droits, violation de données...', '2'),
('70b11c7b-ab27-4970-9f46-05e894a806f7', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Les services en ligne, les échanges ou transferts sur les réseaux sont protégés contre l\'interception (Chiffrement) Les configurations sont systématiquement contrôlées après la mise à jour d\'un service en ligne.', '13'),
('72d9d064-839f-4e86-9ec7-0337bbdd740d', '7d4d0832-8a52-4946-8a91-2910dc9ba448', 'La politique de protection des données informe les personnes concernées sur les engagements du responsable du traitement notamment : licéité des traitements, exercice des droits des personnes, transferts vers un pays tiers, destinataires des données, conservation des données collectées, mesures de sécurité des données. Elle précise les coordonnées du responsable du traitement, celles du délégué ou du référent à la protection des données.', '1'),
('7602c4ed-8988-4200-9d9f-f64b49d0cb5a', '298beb95-4df0-4e5b-b3a2-109e4c14adb7', 'L\'organisation a déjà procédé à une ou plusieurs analyses de risques de son système d\'information. Elle dispose d\'une compétence interne ou externe pouvant réaliser des analyses d\'impacts sur la protection des données', '2'),
('791fd4f4-7387-406d-90ec-58b9b4d073ac', 'd03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Les documents à valeur de preuve sont enregistrés (signés par le responsable du traitement). Ils sont protégés contre les pertes, les divulgations, les falsifications et les accès non autorisés. La liste des documents à valeur de preuve est disponible et tenue à jour (voir onglet liste preuves)', '4'),
('7a6996ef-6e55-470a-8b74-c3945844a36d', 'd03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Il existe un processus de gestion de la documentation applicable au RGPD et comprenant a minima : une organisation du stockage, des règles de marquage, nommage et versioning.', '1'),
('7b05f176-6660-4e69-ad49-802179da87a8', '7d4d0832-8a52-4946-8a91-2910dc9ba448', ' La politique de gestion des données détaille les mesures techniques et organisationnelles définis par le responsable du traitement pour répondre dans le temps aux exigences du RGPD et pouvoir le démontrer : rôles et responsabilités, règles relatives aux processus du RGPD, procédures de gestion des droits de la personne, procédure en cas de violation de données, sommaire du bilan annuel...', '4'),
- ('80f28d1e-7400-4ee5-8b5b-0cbb99421abe', '36c824ed-5e07-4170-848b-27881546461c', 'L\'entreprise dispose d\'un registre des traitements. Le registre renseigne sur les critères minimum précisé à l\'article 30 du règlement : nom du responsable du traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et les catégories de DCP, les catégories de destinataires, les transferts de données à caractère personnel vers un pays tiers, les délais prévus pour l\'effacement, une description générale des mesures de sécurité.', '1'),
- ('82029cdc-a3e6-40c2-b549-203f79747377', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'Conformément à de multiples articles du RGPD, en cas de violation avérée, l\'entreprise est organisée pour analyser et notifier l\'incident auprès de l\'autorité de contrôle au plus tard dans les 72 h, et si nécessaire en informer les personnes concernées. Elle serait en capacité de produire un bilan décrivant les circonstances, la chronologie, les dommages et leurs conséquences, les actions correctives décidées. Il existe un registre des violations.', '4'),
+ ('80f28d1e-7400-4ee5-8b5b-0cbb99421abe', '36c824ed-5e07-4170-848b-27881546461c', 'La structure dispose d\'un registre des traitements. Le registre renseigne sur les critères minimum précisé à l\'article 30 du règlement : nom du responsable du traitement et du DPO, les finalités du traitement, les catégories de personnes concernées et les catégories de DCP, les catégories de destinataires, les transferts de données à caractère personnel vers un pays tiers, les délais prévus pour l\'effacement, une description générale des mesures de sécurité.', '1'),
+ ('82029cdc-a3e6-40c2-b549-203f79747377', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'Conformément à de multiples articles du RGPD, en cas de violation avérée, la structure est organisée pour analyser et notifier l\'incident auprès de l\'autorité de contrôle au plus tard dans les 72 h, et si nécessaire en informer les personnes concernées. Elle serait en capacité de produire un bilan décrivant les circonstances, la chronologie, les dommages et leurs conséquences, les actions correctives décidées. Il existe un registre des violations.', '4'),
('861e335a-cb64-4994-8b0d-b52eeff6e05e', 'd8b01d99-87ad-4244-af68-1ff4b0ca1c92', 'L\'organisation est en capacité de faire réaliser des audits externes pour attester de la conformité des traitements c\'est à dire le respect des obligations juridiques d\'une part et les mesures de sécurité en prévention des violations de données d\'autre part.', '3'),
('8dec8525-4753-4df0-9bfc-86680980c7a3', '105725eb-f536-458b-a5ab-a054e513271e', 'Une étude sécurité est réalisée pour définir les mesures techniques et organisationnelles qui préserveront la disponibilité, l\'intégrité et la confidentialité des données. Les données de test sont anonymisées.', '2'),
('917a67d5-9327-4a75-8e11-2086b830e967', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'La mise au rebus des supports numériques est contrôlée. Les données sont effacées avant le recyclage.', '12'),
('91a1d951-0a98-4c43-95a2-9a7b71e05ba7', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'L\'ensemble des utilisateurs est sensibilisé à la sécurité informatique, à la protection de la vie privée. Les utilisateurs sont formés aux outils et vigilant dans leurs usages pour éviter les erreurs de manipulation . La charte informatique est signée par chaque utilisateur.', '8'),
- ('936461b2-d6cd-4114-8958-65062b1c7328', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'L’entreprise dispose d\'un processus lui permettant de réagir en cas de sollicitation ou de poursuite : disponibilité de preuves opposables, ressources juridiques identifiées, plan de communication interne et externe, contrat d\'assurance spécifique.', '3'),
+ ('936461b2-d6cd-4114-8958-65062b1c7328', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'La structure dispose d\'un processus lui permettant de réagir en cas de sollicitation ou de poursuite : disponibilité de preuves opposables, ressources juridiques identifiées, plan de communication interne et externe, contrat d\'assurance spécifique.', '3'),
('99e0bd87-ba38-418d-82a9-d4a1d1272a19', '105725eb-f536-458b-a5ab-a054e513271e', 'L\'organisation partage une méthode de gestion de projet. Le lancement d\'un projet traitant de DCP implique: une information préalable auprès du DPO ou du référent DPO. La note de cadrage qui définit la licéité du traitement, précise les droits que la personne concernée pourra exercer et renseigne sur la finalité, la minimisation des données, la limitation des durées de conservation.', '1'),
('a54b06d6-d4e8-43ca-a1b0-015f119314b6', 'd8b01d99-87ad-4244-af68-1ff4b0ca1c92', 'Conformément à l\'article 32, de manière régulière, l\'organisation teste, analyse, et évalue l\'efficacité des mesures techniques et organisationnelles, pour assurer la sécurité du traitement. Les mesures de sécurité en prévention de la violation de données à caractère personnel sont contrôlées régulièrement et en cas de violation de données.', '1'),
('ac0c229c-dd72-416d-9878-9236eea541b8', 'bc571661-dc3c-4860-8682-bf9318236998', 'Il existe une cartographie des processus de gestion des données mentionnant les objectifs, les rôles et responsabilités, les activités et les éléments de sortie. Si le DPO ou le référent DPO ne réalise pas les activités des processus, il les coordonne et les contrôle.', '1'),
('acb068ca-268a-4359-a9f3-ffa8c3db4369', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'Tous les équipements ( Postes de travail, smartphones, objets connectés) sont protégés par un antivirus géré par une console centralisée. Les patchs logiciels sont gérés pour éviter les \"trous\" de sécurité. Les postes sont verrouillés en fin de session.', '5'),
- ('ad100d72-3150-4a3b-b099-323c60404b7b', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'L\'entreprise a clairement identifié une expertise juridique interne ou externe, spécialisée dans le RGPD et ses périmètres connexes comme par exemple les spécifications juridiques locales.', '2'),
+ ('ad100d72-3150-4a3b-b099-323c60404b7b', '0f577c2c-6321-473c-9eba-314d37a6ed76', 'La structure a clairement identifié une expertise juridique interne ou externe, spécialisée dans le RGPD et ses périmètres connexes comme par exemple les spécifications juridiques locales.', '2'),
('b2b7ed62-a50b-4cf5-9a6e-9f7bbcbf6341', '7d4d0832-8a52-4946-8a91-2910dc9ba448', 'Le responsable du traitement s\'appuie sur une instance de gouvernance (ex : Comité Informatique et libertés, Comité RGPD) dont les rôles et responsabilités sont clairement identifiés. Elle prend les décisions en matière de gestion des données à caractère personnel : ressources allouées, cas des traitements ultérieurs, violation de données.', '3'),
('b4afa240-3cad-4873-ba7d-4757a4a96892', 'f12ec1b0-d6e6-484c-8318-3bb8fedd0ab6', 'Les modalités de l\'exercice des droits sont communiquées à la personne concernée : Droit d’accès aux données (Art 15) ; Droit de rectification des données (Art 16) ; Droit d’effacement des données (Art 17) ; Droit de limitation du traitement (Art 18) ; Droit de portabilité des données (Art 20) ; Droit d’opposition au traitement (Art 21) ; Droit d’opposition au transfert de données (Art 46)', '1'),
('b59832f7-6b8f-489b-8f83-14975f17b879', 'd03b6fae-6391-4e5a-a15d-9fc7e6368cdc', 'Le DPO ou le référent DPO a établi une liste des documents à produire comme par exemple : politique générale de protection des données, politique de gestion des données, compte rendu de gouvernance, registre des traitements, procédures relative à l\'exercice des droits de la personne concernée, modèle de cadrage d\'un projet Privacy by design, poltique de sécurité. ', '2'),
@@ -119,12 +119,12 @@ final class Version20200630083312 extends AbstractMigration
('bf15a01d-8073-4e6a-820f-325523124094', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'La politique de mot de passe s\'applique à l\'accès réseau et aux applications. Elle précise la force du mot de passe : 12 caractères ou plus, un nombre, une majuscule, un signe de ponctuation ou un caractère spécial (dollar, dièse, ...). Les mots de passe sont gardés secret par chacun des utilisateurs.', '10'),
('bfa74370-130f-4436-8e7b-61ae0f82d713', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'L\'ensemble des données est sauvegardé. Des tests de restauration sont planifiés et réalisés pour vérifier l\'intégrité des données sauvegardées. Les saugegardes sont externalisées dans un lieu sécurisé.', '7'),
('bfd90b86-049e-4500-a382-6c223ced6a30', '36c824ed-5e07-4170-848b-27881546461c', 'Le DPO ou le référent DPO peut disposer d\'une cartographie des flux de données mettant en évidence les points de collecte des données et les échanges inter-application et/ou avec les parties prenantes externes.', '3'),
- ('d7282fec-70c2-449b-974b-268fee810ab7', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'L\'entreprise est organisée pour détecter et gérer les incidents de sécurité. Les incidents sont historisés et partagés avec le DPO pour déterminer s\'il s\'agit d\'une violation de données.', '3'),
+ ('d7282fec-70c2-449b-974b-268fee810ab7', '4da66328-b572-4ae3-bd83-cbde3b413a2f', 'La structure est organisée pour détecter et gérer les incidents de sécurité. Les incidents sont historisés et partagés avec le DPO pour déterminer s\'il s\'agit d\'une violation de données.', '3'),
('d9c73164-64a6-4225-9f7c-5dc8e2d4f838', 'bc571661-dc3c-4860-8682-bf9318236998', 'Le DPO ou le référent DPO a défini un tableau de bord comprend des indicateurs permettent d\'apprécier la conformité au règlement et les progrès réalisés. Les indicateurs sont simples à comprendre et partageable avec les membres de la gouvernance. Exemple d\'indicateurs : maturité des processus du système de gestion, ratio d\'actions réalisées et à réaliser, ratio nombre de traitement interne/sous-traités.', '3'),
('e1ac2129-ab66-432a-a22f-5c3897aa52de', 'f12ec1b0-d6e6-484c-8318-3bb8fedd0ab6', 'Les demandes des personnes concernées et les réponses apportées sont historisées et protégées contre les falsifications et les accès non autorisés, de façon à servir de preuve le cas échéant.', '4'),
('efede81b-7e7e-4e5a-97f0-cb9c34a98bc1', 'bc571661-dc3c-4860-8682-bf9318236998', 'Conformément aux lignes directrices DPO, le DPO ou le référent DPO produit un bilan annuel (Rapport annuel) partagé avec la structure de gouvernance et validé par le responsable du traitement..Ce rapport comprend entre autre : bilan de conformité des traitements, bilan des opérations de sensibilisation, bilan des PIA, bilan de plan de progrès.', '4'),
- ('f204c98c-3737-45e4-9785-17c311b3ea2f', '36c824ed-5e07-4170-848b-27881546461c', 'L\'entreprise dispose des connaissances nécessaires pour gérer les transferts de Données à Caractère Personnel, transfrontaliers UE, vers des pays tiers ou des organisations internationales .L\'inventaire de ces transferts est tenu à jour. (Lien sur la protection des données dans le monde : <a target=\"_blank\" href=\"https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde\">https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde</a>)', '4'),
- ('f8555557-b493-4b15-b9d1-8525dd54746b', '298beb95-4df0-4e5b-b3a2-109e4c14adb7', 'Conformément à l\'article 35 et aux lignes directrices PIA, les nouveaux traitements de DCP \"à risque élevé\" de type activités de contrôle des personnes, évaluations systématiques font l\'objet d\'une analyse. L\'entreprise a pris connaissance du document \"liste-traitements-avec-aipd-requise\" publié par la CNIL.', '3')"
+ ('f204c98c-3737-45e4-9785-17c311b3ea2f', '36c824ed-5e07-4170-848b-27881546461c', 'La structure dispose des connaissances nécessaires pour gérer les transferts de Données à Caractère Personnel, transfrontaliers UE, vers des pays tiers ou des organisations internationales .L\'inventaire de ces transferts est tenu à jour. (Lien sur la protection des données dans le monde : <a target=\"_blank\" href=\"https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde\">https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde</a>)', '4'),
+ ('f8555557-b493-4b15-b9d1-8525dd54746b', '298beb95-4df0-4e5b-b3a2-109e4c14adb7', 'Conformément à l\'article 35 et aux lignes directrices PIA, les nouveaux traitements de DCP \"à risque élevé\" de type activités de contrôle des personnes, évaluations systématiques font l\'objet d\'une analyse. La structure a pris connaissance du document \"liste-traitements-avec-aipd-requise\" publié par la CNIL.', '3')"
);
}
diff --git a/src/Infrastructure/ORM/Registry/Repository/Mesurement.php b/src/Infrastructure/ORM/Registry/Repository/Mesurement.php
index 98f2a846a1031acab4e9fe0e23d777df75fdf70e..4c58eb937fef92faf5356995162d169e5f3b88e7 100644
--- a/src/Infrastructure/ORM/Registry/Repository/Mesurement.php
+++ b/src/Infrastructure/ORM/Registry/Repository/Mesurement.php
@@ -383,6 +383,7 @@ class Mesurement extends CRUDRepository implements Repository\Mesurement
//->setParameter('date_start', $date->format('Y-m-d'))
->setParameter('status', 'not-applied')
->orderBy('u.planificationDate', 'DESC')
+ ->setMaxResults($limit)
;
if ($collectivity) {