CM-13 - Mappage des actions de données (PaF-)
Énoncés :
Élaboration et documentation d’un plan des actions de données du système.
Paramètres :Les actions de données sont des opérations système, et certaines des actions de données impliquent des renseignements personnels. La gestion de tels renseignements englobe le cycle de vie complet de l’information, ce qui comprend la collecte, la création, la transformation, l’utilisation, la divulgation, la conservation et l’élimination. Un plan d’action de données du système comprend les actions de données discrètes qui déterminent les éléments des renseignements personnels utilisés pour les actions de données, les composants des systèmes impliqués dans les actions de données, les gardiennes et gardiens de l’information, et les propriétaires ou les exploitants des composants des systèmes. Comprendre quels renseignements personnels sont traités (par exemple, la sensibilité des renseignements personnels), comment les renseignements personnels sont traités (par exemple, si l’action de données est visible pour la personne ou est traitée dans une autre partie du système) et par qui, permet de fournir des facteurs contextuels qui sont importants à l’évaluation du niveau de risque d’atteinte à la vie privée associé au système. Les plans de données peuvent être utilisés de différentes façons, et le degré de détails peut varier en fonction des besoins liés à la mission et aux activités de l’organisation. Le plan de données peut représenter une superposition de tout artéfact de conception du système qu’utilise une organisation. L’élaboration de ce plan peut nécessiter une coordination entre les programmes de sécurité et de protection de la vie privée concernant les actions de données couvertes et les composants qui sont déterminés comme faisant partie du système. Les utilisatrices et utilisateurs dont les activités sont mises en correspondance devraient être mis au courant de l’activité.