Le Privacy Score c’est quoi ?

• Une grille de lecture proposant des critères établis à partir du droit et de notre approche by design du RGPD ;
• Associée à des lettres allant de A à F permettant de rendre immédiatement accessible la conformité de l’outil.

Le score affiché n’offre aucune garantie de conformité, ni de jugement de valeur sur les outils analysés. Nous rappelons que chaque responsable de traitement évalue en toute indépendance la pertinence et le risque de l'utilisation des outils et services numériques.

Les premiers éléments (ou critères) pris en compte pour le Privacy score sont :

• L’absence de transfert ou l’encadrement des transferts (DPF, CCT, BCR)
• La conformité du DPA de l’outil à l’article 28-3 du RGPD
• La clarté de la documentation
• Les mesures de sécurité certifiées
• Les autres mesures de sécurité
• La certification “Hébergement de données de santé” ou “SecNumCloud”
• La possibilité d’auto-hébergement
• Les fonctionnalités proposés par l’outil

Le score affiché n’offre aucune garantie de conformité, ni de jugement de valeur sur les outils analysés. Nous rappelons que chaque responsable de traitement évalue en toute indépendance la pertinence et le risque de l'utilisation des outils et services numériques.

Le reste des éléments qui ne sont pas mentionnés ici permettent de compléter ceux prioritaires et de donner plus de détail sur l’outil en cas d’utilisation de celui-ci.

Par ailleurs, les outils “auto-hébergés” sont classés “A” sous réserve que la plateforme d’hébergement du responsable de traitement soit respectueuse des règles sur les données à caractère personnel.

Classification

Matrice d’aide au choix en fonction des traitements de données

Privacy score : voir la grille de lecture du Privacy score

Type d’outil : description de l’outil en fonction de son objet (hébergeur/ emailing, messagerie collaborative, support, CRM, web design etc.)

Localisation de l’entreprise : pays où se situe le siège de l’entreprise. Si le siège de l’entreprise se situe en dehors de l’Union européenne, le RGPD est applicable dès lors que son activité cible des citoyens européens.

Auto-hébergement : les données sont auto-hébergées lorsqu’elles sont stockées sur vos propres serveurs ou ordinateurs !

Transfert hors EU : il s’agit d’identifier si les données circulent uniquement au sein de l’Union européenne ou si elles sont traitées en dehors de l’Union européenne (par exemple, si elles sont hébergées dans un pays hors Union européenne)

Encadrement des transferts : dès lors que l’utilisation de l’outil implique un transfert de données à caractère personnel, il convient de s’assurer que ce transfert est conforme au RGPD et donc encadré par une décision d’adéquation, des clauses contractuelles types, des règles internes d’entreprises ou des clauses contractuelles spécifiques, un code de conduite, un mécanisme de certification approuvé, un arrangement administratif.

Accès aux données : les personnes ayant accès aux données (le responsable de traitement, les employés, les partenaires, les sous-traitants ultérieurs, les filiales, la personne qui utilise l’outil)

Sous-traitants ultérieurs (support/hébergement) : les personnes qui agissent selon les instructions du sous-traitant initial et qui stockent vos données par exemple

DPA : dit Data Processing Agreement, prévu par l’article 28 du RGPD, il s’agit de l’accord entre le responsable de traitement et le sous-traitant (l’entreprise qui propose l’outil). Cet accord précise

Certifications et normes de l’entreprise ou des sous-traitants ultérieurs : afin de standardiser les pratiques et d’assurer un niveau de protection élevé des données, des certifications et normes ont été mises en place. Il y a par exemple la certification HDS ou SecNumCloud ou les normes ISO.

Fonctionnalités RGPD-Sécurité : fonctionnalités permettant d’assurer l’exercice des droits des personnes ou pour sécuriser leurs données (anonymisation, chiffrement)