Politique de surveillance, d’audit et d’amélioration du PIMS

La Politique de surveillance, d’audit et d’amélioration du PIMS définit les exigences de l’organisation pour évaluer la performance du système de management des informations relatives à la vie privée dans les domaines de la surveillance, de la mesure, de l’analyse, de l’évaluation, de l’audit interne, de la revue de direction, du traitement des non-conformités, des actions correctives et de l’amélioration continue. Son objet déclaré est de garantir que l’organisation évalue la performance du PIMS, vérifie la conformité du PIMS, identifie les non-conformités, corrige les faiblesses de contrôle et améliore continuellement le PIMS à l’aide d’éléments de preuve objectifs. La politique s’applique à l’ensemble des processus, contrôles, politiques, registres, éléments de preuve, systèmes, fournisseurs, sous-traitants, sous-traitants ultérieurs et dispositifs de partage de données relevant du domaine d’application du PIMS. Elle couvre également les contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur de l’organisation, ce qui la rend pertinente pour la gouvernance de la protection des données comme pour les activités d’assurance opérationnelle. Un élément structurant de la politique est son modèle consolidé d’éléments de preuve. REG12 est utilisé comme emplacement principal pour le programme de surveillance, les définitions des indicateurs, le programme d’audit, les résultats d’audit, les éléments de preuve de revue de direction, les non-conformités, les actions correctives, les exceptions et les actions d’amélioration. Les éléments de preuve d’appui proviennent de REG01 à REG11, notamment les éléments d’entrée relatifs aux activités de traitement issus de REG02, le statut des contrôles de sécurité issu de REG03, les mises à jour des risques relatifs à la vie privée issues de REG04, les éléments de preuve d’assurance des fournisseurs et des sous-traitants issus de REG08, les éléments d’entrée relatifs aux tendances des incidents et des violations de données à caractère personnel issus de REG10, ainsi que le statut d’achèvement de la formation issu de REG11. La politique exige que le Privacy Lead / responsable du PIMS définisse les méthodes de mesure, la fréquence, la source des éléments de preuve, les objectifs et les rôles responsables pour chaque indicateur du PIMS avant le début du cycle de mesure, puis consolide les résultats chaque trimestre. Les exigences d’audit et de revue sont structurées autour d’une planification fondée sur les risques, d’éléments de preuve documentés et de l’indépendance. Le réviseur d’audit interne / conformité doit préparer un programme annuel d’audit interne du PIMS fondé sur les risques dans REG12 et définir l’objectif, les critères, le champ d’application, la méthode, la base d’échantillonnage et la date limite de reporting avant le début des travaux sur site. L’indépendance de l’auditeur et les contrôles de conflit d’intérêts doivent être enregistrés avant chaque mission d’audit. Les activités d’audit comprennent les tests du statut de mise en œuvre des contrôles du PIMS applicables au regard de REG03, l’enregistrement d’échantillons sélectionnés d’éléments de preuve relatifs au traitement des données à caractère personnel et la documentation des résultats dans les 15 jours ouvrés suivant l’achèvement de l’audit. Les constats acceptés doivent être attribués à des propriétaires d’actions correctives dans REG12 dans les 10 jours ouvrés suivant l’acceptation des résultats d’audit. La revue de direction, les actions correctives et l’amélioration sont également strictement encadrées. Le Top Management doit réaliser une revue de direction du PIMS au moins une fois par an dans REG12, en examinant les actions précédentes, les indicateurs de performance du PIMS, le statut des objectifs de protection des données, les non-conformités, les actions correctives, les résultats de surveillance, les résultats d’audit, les risques relatifs à la vie privée, l’assurance des fournisseurs et les éléments d’entrée relatifs aux modifications concernant les parties intéressées. Les non-conformités doivent être enregistrées, les causes racines et les plans d’action corrective soumis, les dates d’échéance et les critères d’acceptation approuvés, les éléments de preuve d’achèvement conservés et l’efficacité vérifiée. L’amélioration continue est pilotée par une revue trimestrielle des résultats de surveillance, des résultats d’audit, des tendances relatives aux incidents, du statut des risques relatifs à la vie privée, du statut de l’assurance des fournisseurs et des tendances relatives aux actions correctives. Lorsque la même catégorie de constat apparaît deux fois ou plus sur une période de 12 mois, la politique exige la création d’une action d’amélioration systémique dans REG12.