L’ENTREPRISE DATA PRIVACY MANAGEMENT SYSTEM ETABLIE AU 1198 AVENUE DU DOCTEUR MAURICE DONAT – 06250 MOUGINS
satisfait aux dispositions du référentiel du Label Privacy Tech – version 1.0 de juin 2020 –
pour la solution logicielle suivante appartenant à la catégorie 2 :
DATA PROTECTION MANAGEMENT SOLUTION
PRIVACIL
Ce label a été délivré par l’Association Privacy Tech sur la base d’une évaluation réalisée par AFNOR Certification
Début de validité : 25/09/2020
Valable jusqu’au : 24/09/2023
PRESENTATION DE LA SOLUTION
PrivaCIL édite une plateforme SaaS de management et de protection des données au lien suivant :
https://www.privacil-logiciel-rgpd.fr/
PrivaCIL apporte, en plus des éléments de base que sont la tenue du registre, la gestion des actions de suivi, la gestion des demandes et des droits (accès, rectification, opposition, consentement, portabilité, oubli (internet), la mise en place d’audit de conformité, et tout un ensemble de fonctionnalités dans un contexte de workflow quelle que soit la taille de l’organisme ou son secteur d’activité :
PRIVACIL A OBTENU LE LABEL PRIVACY TECH POUR L’EXCELLENCE DE SA PLATEFORME DE GOUVERNANCE RGPD EN MATIÈRE DE PRIVACY RGPD.
- Gestion du Registre des Traitements
- Gestion du Registre des Sous-Traitants
- Gestion des études d’impact sur la vie privée (EIVP / DPIA)
- Audit/évaluation de conformité des traitements
- Bilan annuel du DPO
- Gestion des demandes de droits
- Gestion des notifications de failles de sécurité
- Gestion de l’accountability
- Gestion des analyses de risques au niveau Entreprise
- Suivi des actions correctives avec plan d’actions DPO
Pour obtenir la labellisation, l’auditeur AFNOR PrivacyTech a validé la phase d’évaluation et atteste que le candidat a répondu aux exigences d’auditabilité via l’étude des pièces téléversées.
L’auditeur a confirmé que l’organisme INFHOTEP satisfait aux conditions suivantes :
Exigence 1.1 : L’organisme a justifié de la désignation d’un délégué à la protection des données (DPO) ainsi que de son adhésion à l’association PRIVACY TECH
Exigence 2.1 : L’organisme possède une politique ou des règles internes en matière de protection des données.
Exigence 2.2 : L’organisme met en œuvre des mesures de sécurité adaptées aux risques et à la nature des opérations de traitement que sa solution logicielle assure.
Exigence 2.3 : L’organisme met en œuvre des mesures de protection des données dès la conception et/ou par défaut adaptées aux risques et à la nature des opérations de traitement que sa solution logicielle assure telles que le chiffrement ou un système assurant le principe de minimisation sur les différents points de collecte que la solution logicielle peut assurer.
Exigence 2.4 : L’organisme tient à jour le registre des activités de traitement ainsi que la documentation nécessaire pour prouver la conformité à la réglementation en matière de protection des données pour les traitements que sa solution logicielle assure à ses clients.
Exigence 2.5 : L’organisme respecte le cadre juridique relatif à la sous-traitance en matière de traitement de données à caractère personnel et a fortiori l’ensemble des obligations de l’article 28 du Règlement Général sur la Protection des Données (RGPD).
Exigence 2.6 : L’organisme informe ses clients ou utilisateurs concernant les instruments juridiques susceptibles d’être utilisés si des transferts de données hors Union européenne existent dans un ou plusieurs des processus qu’il assure.
Exigence 2.7 : L’organisme sait accompagner ses clients en matière d’analyse d’impact relative à la protection des données (en particulier si l’un ou plusieurs processus d’un traitement de données à caractère personnel sont assurés par le biais de la solution évaluée). Il est en mesure d’assurer la reddition de comptes nécessaire pour les différentes mesures techniques et organisationnelles qu’il assure pour ses clients dans le cadre de la solution logicielle.
Exigence 2.8 : L’organisme informe de toutes vulnérabilités détectées dans sa solution logicielle susceptible d’engendrer une violation de données personnelles nécessitant une notification à l’autorité de contrôle et/ou une communication aux personnes concernées.
Exigence 2.9 : L’organisme autorise la réalisation d’audit, par une tierce partie, en matière de protection des données à la demande et aux frais de ses clients.
L’auditeur a confirmé que la solution ADEQUACY satisfait aux conditions suivantes :
Exigence 3.1 : Un guide d’utilisation de la solution est mis à disposition des clients de l’organisme et mis à jour à chaque évolution.
Exigence 3.2 : La solution permet d’assurer la traçabilité des actions exécutées, notamment à l’aide de tableaux de bord ou d’outils de suivi.
Exigence 3.3 : L’organisme candidat assure une mise à disposition régulière des dernières versions des sources (non obfusquées) de la solution auprès d’un tiers de confiance qui pourra être sollicité en cas de besoin (par exemple pour assurer une continuité d’activité en cas de difficultés de l’éditeur).
Exigence 3.4 : La solution sait déterminer s’il est nécessaire ou non d’effectuer une analyse d’impact relative à la protection des données et sait accompagner son exécution.
Exigence 3.5 : La solution embarque un dispositif d’effacement paramétrable en production en fonction des durées de conservation des différents traitements qu’elle assure.
Exigence 3.6 : La solution assure le droit à la réversibilité de toutes les données traitées, ainsi que l’effacement des données à la suite d’un traitement de réversibilité.
Exigence 3.7 : La solution dispose d’une interface permettant d’assurer les différents droits des personnes, à destination du DPO.