[AIPD] Améliorations diverses
- DIC
Dans l'instruction, les termes DIC ne sont pas compréhensibles, il faut compléter l'information.
D'autre part il faut un graphique qui reprend cette information en synthèse.
- Introductions dans les étapes d'instruction
Mettre des phrases d'introduction sur comment compléter et l'objectif au dessus des tableaux dans les différentes étapes de l'instruction.
- Export / Import
Il faudrait que les mesures utilisées dans les AIPD soient aussi présentes (dans le .xml) lors de l'export/import d'une AIPD
- Changer le calcul de l'indicateur "AIPD à réaliser" présent sur le tableau de bord utilisateur :
Dans la fiche traitement, ajouter une case à cocher "Est exempté d'AIPD". Tous les traitements actifs répondant au moins à ces critères doivent faire l'objet d'une AIPD :
- case à cocher "est exempté d'AIPD" n'est pas coché
- au moins 2 critères parmi les critères spécifiques (ou un critère parmi les critère spécifique + au moins une donnée sensible)
- aucune AIPD n'a déjà été réalisée sur ce traitement
Lorsqu’une AIPD doit être réalisée sur le traitement, une icone apparaît pour le signaler (ici un triangle orange)
- Adapter le livrable comme suit :
- 5.1. Ajouter le paragraphe suivant en dessous du titre 4.2 :
Le tableau ci-dessous identifie des scénarios de menaces pour lesquels une évaluation est réalisée sur la vraisemblance (éventualité d’occurrence) et la gravité (conséquences en cas d’évènement).
- 5.2. Toujours dans le 4.2, décaler la phrase suivante :
<<La matrice de décision ci-dessous vous informe du comportement attendu par la CNIL selon le niveau d'impact identifié :>> A positionner juste au dessus de la matrice, en dessous du paragraphe <<La CNIL préconise....>>
- 5.3. Ajouter cette phrase en dessous du titre 4.3 :
Le radar ci-dessous présente les mesures déjà mises en place dans la collectivité pour réduire l’ensemble des risques identifiés.
- 5.4. Mettre la signature à la fin du document
Mettre la signature à la fin du document, en dessous des avis des personnes concernées (avant les annexes)
- 5.5. Améliorer la définition de l'image affichée dans le paragraphe 1.2
Le schéma affiché est flou dans le PDF.
- 5.6 Dans le paragraphe 2.Etude du contexte, inverser l'ordre des phrases
Dans l'etude du contexte, en face des 5 points : contexte du traitement, portée, description fonctionnelle, Identification des biens supports, Conformité à un code de conduite, on retrouve :
- La conformité
- La justification
- Le label en cas de conformité
Il faudrait avoir :
-
La conformité : Le label en cas de
-
Justification : La justification (le texte justification : est en dur et affiché uniquement si une justification existe)
-
5.7. Dans le 2. Etude du contexte, les graphiques doivent prendre toute la largeur
Pour chaque image affichée (paragraphe 2.), elle doit être adaptée à la largeur du tableau (réduction uniquement, on agrandit pas une petite image)
-
5.8. Dans le 3. Etude des principes fondamentaux
-
Changer le titre de la colonne "Label" par "Description" (1er tableau)
-
Changer le titre de la colonne "Question" par "Principes fondamentaux" (2eme tableau)
-
Mettre une puce devant chacune des actions listée
-
Mettre "Action associées : " en tête de liste des actions planifiées (lorsqu'il y en a)
-
Mettre "Justification : " devant la justification quand elle existe (et faire passer ce point au dessus des actions
Toujours dans le 3., ajouter la phrase suivante après le graphique :
Le graphique indique les points d’amélioration nécessaires au respect des principes fondamentaux du règlement.
-
5.9. Dans le 4.2 Evaluation de l'impact
-
ajouter le texte suivant juste après le titre :
Le tableau ci-dessous identifie des scénarios de menaces pour lesquels une évaluation est réalisée sur la vraisemblance (risques d’occurrence) et la gravité (conséquences en cas d’évènement)
Remplacer le texte en dessous du tableau :
La CNIL préconise d’accepter les risques uniquement lorsque l’impact est négligeable. Dans les autres cas, il faudra apporter des mesures de protection supplémentaires pour venir corriger les anomalies identifiées. Dans le cas où le risque est maximal et que les mesures ne sont pas jugées suffisantes, il conviendra de solliciter l’avis de la CNIL.
-
trier les scénarios de menaces par ordre alphabétique
-
5.10. Dans le paragraphe 4.3. Mesures de réduction
Insérer un saut de page juste avant le 4.3.
Ajouter le texte suivant juste en dessous du titre :
Le radar ci-dessous présente les mesures déjà mises en place dans la collectivité pour réduire l’ensemble des risques identifiés.
Par ailleurs, dans le tableau en dessous du graphique (Mesure de protection), ne pas afficher le label préconisation (dernière colonne) si la mesure est satisfaisante.
- 5.11. Dans le paragraphe 4.4 Risques résiduels
Remplacer la phrase en dessous du titre par la suivante :
Les risques résiduels correspondent aux risques non traités à ce jour ou pour lesquels des préconisations ont été formulées (voir actions conseillées par le DPD).
Ajouter le texte suivant au dessus du tableau avec les actions conseillées par le DPO :
Le plan d’action ci-après présente les mesures de sécurité liées aux seuls scénarios de menaces dont l’impact est refusé.
Dans le tableau "Actions conseillées", n'afficher que les actions qui sont identifiées sur les scénarios de menaces dont le risque résiduel est non négligeable.