Mode d'emploi : Cochez chaque point accompli. Un score inferieur a 20/30 indique des risques significatifs. Contactez un DPO pour un accompagnement personnalise.
A. Formalites prealables (Art. 18-22 Loi 2008-12)
Toutes les activites de traitement ont fait l'objet d'une declaration prealable a la CDP
Les traitements de donnees sensibles (sante, biometrie, opinions politiques/religieuses) ont obtenu une autorisation prealable CDP
Les transferts de donnees vers des pays tiers ont ete notifies a la CDP avec justification des garanties
Un responsable du traitement est clairement designe et identifiable
Le registre des traitements est tenu a jour et disponible pour controle CDP sous 48h
B. Information des personnes (Art. 37-40)
Une politique de confidentialite est publiee, accessible et redigee en francais (ou wolof pour les publics locaux)
Chaque formulaire de collecte indique : identite du responsable, finalite, droits des personnes, duree de conservation
Le consentement est recueilli de facon libre, specifique et documentee (horodatage, preuve)
Les cases pre-cochees et consentements groupes ont ete supprimes de tous les formulaires
Un mecanisme de retrait du consentement est aussi simple que son obtention (bouton desabonnement, etc.)
C. Droits des personnes (Art. 47-52)
Un processus de traitement des demandes d'acces est en place (reponse dans 30 jours maximum)
Les demandes de rectification sont traitees dans les delais reglementaires
Les demandes de suppression et d'opposition sont honorees sauf exceptions prevues par la loi
Un registre des demandes d'exercice de droits est tenu (date, demande, reponse apportee)
L'organisation a designe un point de contact pour les droits des personnes (email dedie ou formulaire)
D. Securite des donnees (Art. 53-55)
Les communications sont chiffrees (HTTPS obligatoire, TLS 1.2 minimum)
Les mots de passe sont stockes sous forme hachee (SHA-256, bcrypt ou argon2 - jamais en clair)
Les acces aux donnees personnelles sont limites au principe du moindre privilege
Une procedure de gestion des violations de donnees est documentee (notification CDP sous 72h Art. 33 RGPD)
Les sous-traitants traitant des donnees personnelles sont encadres par des contrats incluant des clauses de protection
Des sauvegardes regulieres des donnees sont effectuees et testees (minimum hebdomadaire)
E. Durees de conservation (Art. 29-31)
Des durees de conservation sont definies et documentees pour chaque categorie de donnees
Un processus d'effacement ou d'anonymisation automatique est mis en place a l'issue des delais
Les archives intermediaires sont separees des donnees en traitement actif
La politique de conservation est connue et appliquee par toute l'equipe
F. Gouvernance et culture data (Art. 18 et suivants)
Le personnel est forme a la protection des donnees au moins une fois par an
Une personne referente (DPO interne ou externe) est identifiee et joignable
Un plan de mise en conformite avec echeancier est etabli et suivi
Les nouveaux projets impliquant des donnees font l'objet d'une revue privacy before launch
Un bilan annuel de conformite est realise et documente