Description
Liste des recommandations reprises du document "Analyse d'impact relative à la protection des données (AIPD) 3 : les bases de connaissances, édition février 2018" publié sur le site www.cnil.fr. Cette liste n'est pas validée par la CNIL.
Owning organization
Validating JSON schema
Recommendations (provided by MONARC)
Creator
License
Creative Commons Zero v1.0 Universal

Definition of the object
{
    "label": "CNIL",
    "language": "FR",
    "refs": [
        "https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf"
    ],
    "uuid": "8d24c5ef-0748-4689-b189-3a4e505e3065",
    "values": [
        {
            "code": "Accès logique_01",
            "description": "Gérer les profils d'utilisateurs en séparant les tâches et les domaines de responsabilité, de préférence de manière centralisée, afin de limiter l'accès aux données aux seuls utilisateurs habilités, en appliquant les principes du besoin d'en connaître et du moindre privilège.",
            "importance": 0,
            "uuid": "e118a3c6-7482-4211-b7ec-299efd46138f"
        },
        {
            "code": "Accès logique_02",
            "description": "Identifier toute personne ayant un accès légitime aux données (employés, contractants et autres tiers) par un identifiant unique.",
            "importance": 0,
            "uuid": "26276cb1-c4e4-467d-b408-54c2d319880e"
        },
        {
            "code": "Accès logique_03",
            "description": "Dans le cas où l'utilisation d'identifiants génériques ou partagés est incontournable, obtenir une validation de la hiérarchie et mettre en oeuvre des moyens de traçabilité de l'utilisation de ce type d'identifiant.",
            "importance": 0,
            "uuid": "ceaf2533-f871-401b-9152-22176215a30c"
        },
        {
            "code": "Accès logique_04",
            "description": "Limiter l'accès aux outils et interfaces d'administration aux personnes habilitées.",
            "importance": 0,
            "uuid": "e6ebe368-9a36-4fe6-b5d5-868debdf6111"
        },
        {
            "code": "Accès logique_05",
            "description": "Limiter l'utilisation des comptes permettant de disposer de privilèges élevés aux opérations qui le nécessitent.",
            "importance": 0,
            "uuid": "93a2aa2a-c3e8-4e30-8bb3-ee2d361397f5"
        },
        {
            "code": "Accès logique_06",
            "description": "Limiter l'utilisation des comptes « administrateurs » au service en charge de l'informatique, et ce, uniquement pour les actions d'administration qui le nécessitent.",
            "importance": 0,
            "uuid": "0b18bac6-9fb1-4192-975e-21b0e72e1bf4"
        },
        {
            "code": "Accès logique_07",
            "description": "Chaque compte, et d'autant plus s'il a des privilèges élevés (ex : compte administrateur), doit avoir un mot de passe propre.",
            "importance": 0,
            "uuid": "bf0202ac-622c-42fc-9ea0-3110e0bb43b6"
        },
        {
            "code": "Accès logique_08",
            "description": "Journaliser les informations liées à l'utilisation des privilèges.",
            "importance": 0,
            "uuid": "44d19a09-c60f-418c-8f5b-4ebd68313bb2"
        },
        {
            "code": "Accès logique_09",
            "description": "Réaliser une revue annuelle des privilèges afin d'identifier et de supprimer les comptes non utilisés, et de réaligner les privilèges sur les fonctions de chaque utilisateur.",
            "importance": 0,
            "uuid": "fea2a14d-15c4-4336-887b-952b2e53a659"
        },
        {
            "code": "Accès logique_10",
            "description": "Retirer les droits des employés, contractants et autres tiers dès lors qu'ils ne sont plus habilités à accéder à un local ou à une ressource ou à la fin de leur contrat, et les ajuster en cas de changement de poste. Pour les personnes ayant un compte temporaire (stagiaire, prestataire...), configurer une date d'expiration à la création du compte.",
            "importance": 0,
            "uuid": "3567ae95-f967-4d83-b8a5-2e128eb8a4bb"
        },
        {
            "code": "Accès logique_11",
            "description": "Choisir un moyen d'authentification pour les ouvertures de session, adapté au contexte, au niveau des risques et à la robustesse attendue.",
            "importance": 0,
            "uuid": "f5fa7cf6-962a-4479-b4dd-b4055940c4c3"
        },
        {
            "code": "Accès logique_12",
            "description": "Interdire que les mots de passe utilisés apparaissent en clair dans les programmes, fichiers, scripts, traces ou fichiers journaux, ou à l'écran lors de leur saisie.",
            "importance": 0,
            "uuid": "109dcedb-1be9-450e-b27f-7e51ee709bac"
        },
        {
            "code": "Accès logique_13",
            "description": "Déterminer les actions à entreprendre en cas d'échec de l'authentification.",
            "importance": 0,
            "uuid": "9faa0ed5-8a85-40d1-93a0-ed2e7d0fcf4e"
        },
        {
            "code": "Accès logique_14",
            "description": "Limiter l'authentification par identifiants et mots de passe au contrôle de l'accès au poste de travail (déverrouillage uniquement).",
            "importance": 0,
            "uuid": "d04e18d8-0db0-4a6d-8e2b-9d8ffedd8e61"
        },
        {
            "code": "Accès logique_15",
            "description": "Authentifier le poste de travail auprès du système d'information distant (serveurs) à l'aide de mécanismes cryptographiques.",
            "importance": 0,
            "uuid": "84390e07-d195-4fe0-8e39-84c29b418224"
        },
        {
            "code": "Accès logique_16",
            "description": "Adopter une politique de mots de passe, la mettre en oeuvre et la contrôler automatiquement dans la mesure où les applications et les ressources le permettent, et y sensibiliser les utilisateurs.",
            "importance": 0,
            "uuid": "679cdcd4-b5cc-449d-8570-9767ac8b9050"
        },
        {
            "code": "Accès logique_17",
            "description": "Adopter une politique spécifique de mots de passe pour les administrateurs, la mettre en oeuvre et la contrôler automatiquement dans la mesure où les applications et les ressources le permettent, et y sensibiliser les administrateurs.",
            "importance": 0,
            "uuid": "ed213665-55a1-4e17-b48d-14ed86eae184"
        },
        {
            "code": "Accès logique_18",
            "description": "Modifier immédiatement après installation d'une application ou d'un système les mots de passe par défaut.",
            "importance": 0,
            "uuid": "91202b19-adc1-41fc-955d-654b03c724a8"
        },
        {
            "code": "Accès logique_19",
            "description": "Créer chaque compte utilisateur avec un mot de passe initial aléatoire unique, le transmettre de manière sécurisée à l'utilisateur, par exemple en utilisant deux canaux séparés (papier et autres) ou une « case à gratter », et le contraindre à le modifier lors de sa première connexion et lorsqu'un nouveau mot de passe lui est fourni (par exemple en cas d'oubli).",
            "importance": 0,
            "uuid": "8f0e75d1-19d5-4e35-9517-b4c4e600a082"
        },
        {
            "code": "Accès logique_20",
            "description": "Stocker les informations d'authentification (mots de passe d'accès aux systèmes d'information, clés privées liées aux certificats électroniques) de façon à être accessibles uniquement par des utilisateurs autorisés.",
            "importance": 0,
            "uuid": "852a4c9c-8240-42cc-9581-038a410112cc"
        },
        {
            "code": "Accès logique_21",
            "description": "Dans le cas où de nombreux mots de passe ou secrets (clés privées, certificats, etc.) doivent être utilisés, mettre en place une solution d'authentification centralisée, de mots de passe à usage unique ou de coffres-forts sécurisés.",
            "importance": 0,
            "uuid": "32fc5d12-b90c-48aa-8332-006131cfb16b"
        },
        {
            "code": "Accès physique_01",
            "description": "Distinguer les zones des bâtiments selon les risques.",
            "importance": 0,
            "uuid": "8610c9a9-2dc5-4a26-b06c-80b00a4809a4"
        },
        {
            "code": "Accès physique_02",
            "description": "Tenir à jour une liste des personnes (visiteurs, employés, employés habilités, stagiaires, prestataires, etc.) autorisées à pénétrer dans chaque zone.",
            "importance": 0,
            "uuid": "abdffe63-1cf7-4e8c-b2c1-f1f4a6f97aa1"
        },
        {
            "code": "Accès physique_03",
            "description": "Choisir des moyens d'authentification des collaborateurs proportionnels aux risques selon chaque zone.",
            "importance": 0,
            "uuid": "5873e81e-f01e-4be4-ac19-4a1da00c6e7a"
        },
        {
            "code": "Accès physique_04",
            "description": "Choisir des moyens d'authentification des visiteurs (personnes venant en réunion, prestataires externes, auditeurs, etc.) proportionnels aux risques selon chaque zone.",
            "importance": 0,
            "uuid": "c4ccc241-19ee-4e8f-8531-6cbcd88aa702"
        },
        {
            "code": "Accès physique_05",
            "description": "Déterminer les actions à entreprendre en cas d'échec de l'authentification (impossible de vérifier une identité, défaut d'habilitation à pénétrer dans une zone sécurisée, etc.).",
            "importance": 0,
            "uuid": "1e71ff0f-e62b-41f6-9dfa-0adda57a4e39"
        },
        {
            "code": "Accès physique_06",
            "description": "Conserver une trace des accès après en avoir informé les personnes concernées.",
            "importance": 0,
            "uuid": "707fc241-d84c-445d-b2ad-00a5b2e3d52f"
        },
        {
            "code": "Accès physique_07",
            "description": "Faire accompagner les visiteurs, en dehors des zones d'accueil du public (depuis leur entrée, pendant leur visite et jusqu'à leur sortie des locaux) par une personne appartenant à l'organisme.",
            "importance": 0,
            "uuid": "6e9286ef-e3e7-4dfe-b609-7ec4edda92fa"
        },
        {
            "code": "Accès physique_08",
            "description": "Protéger les zones les plus sensibles de manière proportionnelle aux risques.",
            "importance": 0,
            "uuid": "cc5ceb8c-d72c-4ecf-a307-2aac21144b78"
        },
        {
            "code": "Accès physique_09",
            "description": "Installer un dispositif permettant d'être alerté en cas d'effraction.",
            "importance": 0,
            "uuid": "0bceee9c-5fa7-4c8e-9350-ab1c55a1934f"
        },
        {
            "code": "Accès physique_10",
            "description": "Prévoir les moyens de ralentir les personnes qui auraient pénétré dans une zone dont l'accès leur est interdit, ainsi que les moyens d'intervention dans de telles situations, de telle sorte que le délai d'intervention soit inférieur au temps qu'il faut aux personnes non autorisées pour sortir de la zone.",
            "importance": 0,
            "uuid": "a1679d06-d84a-4808-8d71-51fcd6f796a5"
        },
        {
            "code": "Anonymisation _01",
            "description": "Déterminer ce qui doit être anonymisé selon le contexte, la forme de stockage des données (champs d'une base de données, extraits de textes, etc.) et les risques identifiés.",
            "importance": 0,
            "uuid": "d1fc946c-b3cb-42f4-b9db-5b4ca070d6f9"
        },
        {
            "code": "Anonymisation _02",
            "description": "Anonymiser de manière irréversible ce qui doit l'être, selon la forme des données à anonymiser (base de données, documents textuels, etc.) et les risques identifiés.",
            "importance": 0,
            "uuid": "19292c60-80ae-4713-8a32-ed2c7aaae607"
        },
        {
            "code": "Anonymisation _03",
            "description": "Si ce qui doit être anonymisé ne peut l'être de manière irréversible, choisir les outils (suppression partielle, chiffrement, hachage, hachage à clé, index, etc.) qui satisfont le mieux possible les besoins fonctionnels.",
            "importance": 0,
            "uuid": "57800e17-0f6e-4480-a3d6-e44dd3998588"
        },
        {
            "code": "Archivage_01",
            "description": "Vérifier que les processus de gestion des archives sont définis.",
            "importance": 0,
            "uuid": "9ef28197-0cb6-416d-afaf-7f9b24bfc431"
        },
        {
            "code": "Archivage_02",
            "description": "Vérifier que les rôles en matière d'archivage sont identifiés.",
            "importance": 0,
            "uuid": "edc6df06-9c0c-4247-9aee-f5794fadf4bd"
        },
        {
            "code": "Archivage_03",
            "description": "Vérifier que les mesures prises permettent de garantir, si besoin, l'identification et l'authentification de l'origine des archives, l'intégrité des archives, l'intelligibilité et la lisibilité des archives, la durée de conservation des archives, la traçabilité des opérations effectuées sur les archives (versement, consultation, migration, élimination, etc.), la disponibilité et l'accessibilité des archives, les compléter si ce n'est pas le cas.",
            "importance": 0,
            "uuid": "5acba894-3f1e-493a-8cb4-718d33522093"
        },
        {
            "code": "Archivage_04",
            "description": "Déterminer les moyens de protection de la confidentialité des données archivées selon les risques identifiés.",
            "importance": 0,
            "uuid": "cebae15e-1aa4-480d-a39f-f35ff6001a6f"
        },
        {
            "code": "Archivage_05",
            "description": "Vérifier que les autorités d'archivage disposent d'une politique d'archivage.",
            "importance": 0,
            "uuid": "bf78101a-0197-406f-b027-bd5f96751904"
        },
        {
            "code": "Archivage_06",
            "description": "Vérifier qu'il existe une déclaration des pratiques d'archivage.",
            "importance": 0,
            "uuid": "28e18337-0c7a-49eb-8436-1f70b01372db"
        },
        {
            "code": "Chiffrement_01",
            "description": "Déterminer ce qui doit être chiffré (un disque dur entier, une partition, un conteneur , certains fichiers, des données d'une base de données, un canal de communication, etc.) selon la forme de stockage des données, les risques identifiés et les performances exigées .",
            "importance": 0,
            "uuid": "d1491661-134b-41fc-aca3-74937d131809"
        },
        {
            "code": "Chiffrement_02",
            "description": "Choisir le type de chiffrement (symétrique ou asymétrique ) selon le contexte et les risques identifiés.",
            "importance": 0,
            "uuid": "5692f3e1-db9a-4127-8ef8-4c48f1b119d1"
        },
        {
            "code": "Chiffrement_03",
            "description": "Recourir à des solutions de chiffrement basées sur des algorithmes publics réputés forts.",
            "importance": 0,
            "uuid": "6b541553-3b6c-4b3e-b904-33d08ba30a53"
        },
        {
            "code": "Chiffrement_04",
            "description": "Mettre en place des mesures pour garantir la disponibilité, l'intégrité et la confidentialité des éléments permettant de récupérer des secrets perdus (mots de passe administrateurs, CD de recouvrement, etc.).",
            "importance": 0,
            "uuid": "c33fa90c-2f64-46ea-bebc-64adcc9312ea"
        },
        {
            "code": "Chiffrement_05",
            "description": "N'employer une clé ou biclé de chiffrement que pour un seul usage.",
            "importance": 0,
            "uuid": "8fad8a50-3f94-4fda-a878-765bf475a13e"
        },
        {
            "code": "Chiffrement_06",
            "description": "Formaliser la manière dont les clés de chiffrement vont être gérées.",
            "importance": 0,
            "uuid": "f0d035bb-bddc-47b8-9d67-5f04fcaddbb9"
        },
        {
            "code": "Chiffrement_07",
            "description": "Choisir un mécanisme de chiffrement reconnu par les organisations compétentes et qui dispose d'une preuve de sécurité.",
            "importance": 0,
            "uuid": "0854a91c-8dda-492f-a1ec-f113146fd7fc"
        },
        {
            "code": "Chiffrement_08",
            "description": "Mettre en place des mécanismes de vérification des certificats électroniques.",
            "importance": 0,
            "uuid": "4c00cea1-76cb-4b4d-b5cd-a24e3e15a619"
        },
        {
            "code": "Chiffrement_09",
            "description": "Protéger la sécurité de la génération et de l'utilisation des clés de chiffrement en cohérence avec leur niveau dans la hiérarchie des clés.",
            "importance": 0,
            "uuid": "0443fb22-930e-430f-a525-2268afbb4f35"
        },
        {
            "code": "Chiffrement_10",
            "description": "[postes de travail] Privilégier les dispositifs ne stockant pas les clés sur le matériel à chiffrer sauf à ce que celui-ci mette en oeuvre un dispositif de stockage sécurisé (par exemple une puce TPM pour les ordinateurs portables).",
            "importance": 0,
            "uuid": "3c48c7fa-a0a7-4b9c-8c4e-94395f1e2ccf"
        },
        {
            "code": "Chiffrement_11",
            "description": "[postes de travail] Chiffrer les données au niveau du système d'exploitation (chiffrement d'une partition, d'un répertoire ou d'un fichier) ou à l'aide d'un logiciel spécialisé (chiffrement d'un conteneur).",
            "importance": 0,
            "uuid": "cedcb402-1a1e-4796-b6ac-ad13a451731a"
        },
        {
            "code": "Chiffrement_12",
            "description": "[bases de données] Chiffrer l'espace de stockage (au niveau matériel, du système d'exploitation ou de la base de données) afin de se protéger d'un vol physique, de la donnée elle-même (chiffrement par l'application) afin de garantir la confidentialité de certaines données vis-à-vis des administrateurs eux-mêmes. Le chiffrement par la base de données peut dans le cas d'équipes informatiques cloisonnées permettre de rendre les données uniquement accessibles des administrateurs de base de données sans que les administrateurs système y aient accès.",
            "importance": 0,
            "uuid": "8cc0ea9d-1af1-4311-a454-1ba757bbe022"
        },
        {
            "code": "Chiffrement_13",
            "description": "[email] Chiffrer les fichiers stockés ou les pièces à joindre à des courriers électroniques.",
            "importance": 0,
            "uuid": "22226bd6-bb16-4a2b-9c28-fe2775b71914"
        },
        {
            "code": "Chiffrement_14",
            "description": "[email] Chiffrer les messages électroniques.",
            "importance": 0,
            "uuid": "9a562522-6788-46f2-89f3-5927a5954b83"
        },
        {
            "code": "Chiffrement_15",
            "description": "[réseaux] Chiffrer le canal de communication entre un serveur authentifié et un client distant.",
            "importance": 0,
            "uuid": "bd2c611c-fb9d-47c6-a2f5-5abe452dde48"
        },
        {
            "code": "Cloisonnement_01",
            "description": "Identifier les seules données utiles à chaque processus métier.",
            "importance": 0,
            "uuid": "dedea729-0c56-41a9-a507-2648cf80d4c9"
        },
        {
            "code": "Cloisonnement_02",
            "description": "Séparer logiquement les données utiles à chaque processus.",
            "importance": 0,
            "uuid": "c8a70a56-af4d-4cc0-b8de-dc73b8b36396"
        },
        {
            "code": "Cloisonnement_03",
            "description": "Vérifier de manière régulière que les données sont bien cloisonnées, et que des destinataires ou des interconnexions n'ont pas été ajoutés.",
            "importance": 0,
            "uuid": "ffb3ad05-3d82-4d46-9bab-95e5ef88e27d"
        },
        {
            "code": "Consentement_01",
            "description": "Déterminer et justifier les moyens pratiques qui vont être mis en oeuvre pour obtenir le consentement des personnes concernées ou justifier de l'impossibilité de les mettre en oeuvre.",
            "importance": 0,
            "uuid": "714cb101-0a63-42bf-9e95-18d0f60ac9c8"
        },
        {
            "code": "Consentement_02",
            "description": "S'assurer que le traitement ne puisse pas être mis en oeuvre sans consentement.",
            "importance": 0,
            "uuid": "1344a6be-8017-41ff-bcb2-7eaca1d7d7ca"
        },
        {
            "code": "Consentement_03",
            "description": "S'assurer que le consentement sera obtenu de manière libre.",
            "importance": 0,
            "uuid": "8b658ce9-e207-4fae-ba69-747f393fe8cb"
        },
        {
            "code": "Consentement_04",
            "description": "S'assurer que le consentement sera obtenu de manière éclairée et transparente quant aux finalités du traitement.",
            "importance": 0,
            "uuid": "b0d8f199-46d7-4766-9c5b-ea7ccdfa1007"
        },
        {
            "code": "Consentement_05",
            "description": "S'assurer que le consentement sera obtenu de manière spécifique à une finalité.",
            "importance": 0,
            "uuid": "5275ce0f-d24e-41b8-9058-d1b4e7ca851e"
        },
        {
            "code": "Consentement_06",
            "description": "En cas de sous-traitance, encadrer les obligations de chacun dans un document écrit, explicite et accepté des deux parties.",
            "importance": 0,
            "uuid": "2d7ac8b6-918d-436e-b7a8-f9e26ca5024e"
        },
        {
            "code": "Consentement_07",
            "description": "Recueillir le consentement des parents pour les mineurs de moins de 13 ans.",
            "importance": 0,
            "uuid": "cf2a0e63-2440-4339-b080-318530142a38"
        },
        {
            "code": "Consentement_08",
            "description": "Obtenir le consentement éclairé et exprès des personnes concernées préalablement à la mise en oeuvre du traitement, sauf dans le cas où le traitement repose sur une autre base légale ou que la loi prévoit qu'il est interdit de collecter ou de traiter ces données.",
            "importance": 0,
            "uuid": "ce24a3e2-a85c-4715-9754-062e27da56ae"
        },
        {
            "code": "Consentement_09",
            "description": "[collecte de données via un site Internet] Prévoir un formulaire avec des cases à cocher et qui ne sont pas cochées par défaut (dit « opt-in »).",
            "importance": 0,
            "uuid": "cdf6455d-9bda-431d-bd90-0473cf53bead"
        },
        {
            "code": "Consentement_10",
            "description": "[collecte de données via des cookies] Dans le cas où le cookie n'est pas strictement nécessaire à la fourniture du service expressément demandé par l'utilisateur, recueillir le consentement de l'internaute (ex : via une bannière en haut d'une page web), une zone de demande de consentement en surimpression sur la page, des cases à cocher lors de l'inscription à un service en ligne, etc.) après information de celui-ci et avant le dépôt du cookie.",
            "importance": 0,
            "uuid": "46cd679f-1d55-49cd-afc3-220518f128b8"
        },
        {
            "code": "Consentement_11",
            "description": "[collecte de données via une application mobile] Recueillir le consentement de l'utilisateur au premier démarrage de l'objet ou de l'application mobile.",
            "importance": 0,
            "uuid": "75482a90-c07c-40da-988b-22614e5a8394"
        },
        {
            "code": "Consentement_12",
            "description": "[collecte de données via une application mobile] Proposer un consentement segmenté par catégorie de données ou types de traitement, en distinguant notamment le partage de données avec d'autres utilisateurs ou avec des sociétés tierces.",
            "importance": 0,
            "uuid": "076d2004-99f5-4987-8deb-bfd17e6c1125"
        },
        {
            "code": "Consentement_13",
            "description": "[géolocalisation via un smartphone] Permettre à l'usager de refuser qu'une application puisse le géolocaliser de manière systématique.",
            "importance": 0,
            "uuid": "43e88dac-4872-43d0-8866-24ab14ef68bb"
        },
        {
            "code": "Consentement_14",
            "description": "[géolocalisation via un smartphone] Permettre à l'usager de sélectionner quelle application peut utiliser la géolocalisation.",
            "importance": 0,
            "uuid": "3db56638-0ac3-45f4-b423-beb7c651b1ba"
        },
        {
            "code": "Consentement_15",
            "description": "[géolocalisation via un smartphone] Permettre à l'usager de choisir quelles personnes peuvent accéder à l'information de géolocalisation le concernant et avec quelle précision.",
            "importance": 0,
            "uuid": "13923ace-5491-414e-8397-bd41fd92ebb1"
        },
        {
            "code": "Consentement_16",
            "description": "[publicité ciblée] Mettre à disposition des utilisateurs des moyens simples et non payants pour accepter ou refuser la diffusion à leur égard de contenus publicitaires adaptés à leur comportement de navigation, et choisir les centres d'intérêt à propos desquels ils souhaiteraient voir s'afficher des offres publicitaires adaptées à leurs souhaits.",
            "importance": 0,
            "uuid": "18ea7c10-06db-4457-b137-647cebe240b5"
        },
        {
            "code": "Consentement_17",
            "description": "[recherches sur des prélèvements biologiques identifiants] Si les prélèvements sont conservés pour un traitement ultérieur différent du traitement initial, s'assurer également du consentement éclairé et exprès de la personne concernée pour cet autre traitement.",
            "importance": 0,
            "uuid": "cd22d65f-2bb3-43df-98b2-929903a6628d"
        },
        {
            "code": "Contrôle d'intégrité_01",
            "description": "Identifier les données dont l'intégrité doit être contrôlée selon les risques identifiés.",
            "importance": 0,
            "uuid": "3cec2c97-10e1-4469-b168-df05844cb77b"
        },
        {
            "code": "Contrôle d'intégrité_02",
            "description": "Choisir un moyen de contrôler l'intégrité selon le contexte, les risques appréciés et la robustesse attendue.",
            "importance": 0,
            "uuid": "40e44f1d-650a-4fee-a79e-3088d695f836"
        },
        {
            "code": "Contrôle d'intégrité_03",
            "description": "Définir le moment auquel la fonction est appliquée et celui où le contrôle d'intégrité doit être effectué selon le déroulement du processus métier.",
            "importance": 0,
            "uuid": "78f01fab-a9d9-44b6-8d86-c37c9be66ca4"
        },
        {
            "code": "Contrôle d'intégrité_04",
            "description": "Lorsque les données sont envoyées dans une base de données, il est nécessaire de mettre en place des mesures d'analyse permettant de prévenir les attaques par injection SQL ou de scripts.",
            "importance": 0,
            "uuid": "9d0be52f-a03a-4807-94ff-8b930954c112"
        },
        {
            "code": "Contrôle d'intégrité_05",
            "description": "Utiliser un mécanisme de hachage reconnu par les organisations compétentes et qui dispose d'une preuve de sécurité.",
            "importance": 0,
            "uuid": "98f3804b-00c7-4211-9474-680558ead2a0"
        },
        {
            "code": "Contrôle d'intégrité_06",
            "description": "Recourir à des solutions de signature électronique basées sur des algorithmes publics réputés forts.",
            "importance": 0,
            "uuid": "623b84d7-b0cd-4716-9c17-5cb027b3e5d8"
        },
        {
            "code": "Documents papier_01",
            "description": "Porter une mention visible et explicite sur chaque page des documents contenant des données sensibles.",
            "importance": 0,
            "uuid": "1512c36f-aecc-4fa6-979a-a69e31932228"
        },
        {
            "code": "Documents papier_02",
            "description": "Porter une mention visible et explicite dans les applications métiers permettant d'accéder à des données et permettant de les imprimer.",
            "importance": 0,
            "uuid": "554dedff-298a-48e9-bf63-0b04f40a6515"
        },
        {
            "code": "Documents papier_03",
            "description": "Choisir des supports papier et des procédés d'impression appropriés aux conditions de conservation (selon la durée de conservation, l'humidité ambiante, etc.).",
            "importance": 0,
            "uuid": "2186b63f-74b8-48d5-b019-aa553747da34"
        },
        {
            "code": "Documents papier_04",
            "description": "Récupérer les documents imprimés contenant des données immédiatement après leur impression ou effectuer, lorsque c'est possible, une impression sécurisé.",
            "importance": 0,
            "uuid": "6a064432-95d1-4fc9-b6c2-c351c538c0a8"
        },
        {
            "code": "Documents papier_05",
            "description": "Limiter la diffusion des documents papier contenant des données qu'aux personnes ayant le besoin d'en disposer dans le cadre de leur activité.",
            "importance": 0,
            "uuid": "49927122-8e47-45ee-a8e3-8f0c3601e5b1"
        },
        {
            "code": "Documents papier_06",
            "description": "Stocker les documents papier contenant des données dans un meuble sécurisé.",
            "importance": 0,
            "uuid": "5ac9f935-a1d4-47f6-968c-d4fcbd783608"
        },
        {
            "code": "Documents papier_07",
            "description": "Détruire les documents papier contenant des données et qui ne sont plus utiles à l'aide d'un broyeur approprié.",
            "importance": 0,
            "uuid": "c343cc7c-620c-4308-b71f-8d59c7bc71f4"
        },
        {
            "code": "Documents papier_08",
            "description": "N'envoyer que les documents papier contenant des données nécessaires au traitement.",
            "importance": 0,
            "uuid": "948ebbc4-cd89-44e6-8592-5bf5809255b8"
        },
        {
            "code": "Documents papier_09",
            "description": "Garder une trace précise de la transmission des documents papier contenant des données.",
            "importance": 0,
            "uuid": "ca01e8c9-4113-444b-9493-5a62afb087eb"
        },
        {
            "code": "Documents papier_10",
            "description": "Choisir un canal de transmission adapté aux risques et à la fréquence de transmission.",
            "importance": 0,
            "uuid": "b7c9c6fb-abbb-49f3-b5a8-f12fab7bacae"
        },
        {
            "code": "Documents papier_11",
            "description": "Améliorer la confiance envers le transporteur de documents papier contenant des données.",
            "importance": 0,
            "uuid": "511f7037-7fbe-41e5-80b3-2acb6a34cb3b"
        },
        {
            "code": "Documents papier_12",
            "description": "Protéger les documents papier contenant des données.",
            "importance": 0,
            "uuid": "da589b18-e850-4576-a779-d27024dd91f0"
        },
        {
            "code": "Droit à la limitation et d'opposition_01",
            "description": "Déterminer les moyens pratiques qui vont être mis en oeuvre pour permettre l'exercice du droit d'opposition. Ce droit doit pouvoir être exercé le plus rapidement possible, sans jamais excéder deux mois, dans une forme similaire à celle du traitement (voie postale et/ou voie électronique). En outre, les démarches à effectuer ne doivent pas décourager les personnes concernées et ne doivent pas leur occasionner de frais.",
            "importance": 0,
            "uuid": "7bd7ed97-ee93-422a-a1f2-4703f5a7ea7c"
        },
        {
            "code": "Droit à la limitation et d'opposition_02",
            "description": "S'assurer que le droit d'opposition pourra toujours s'exercer et que les données collectées et traitées permettent effectivement l'exercice du droit d'opposition.",
            "importance": 0,
            "uuid": "ed0341d5-b5e0-4989-9084-07bfa7668941"
        },
        {
            "code": "Droit à la limitation et d'opposition_03",
            "description": "S'assurer que « l'intéressé est mis en mesure d'exprimer son choix avant la validation définitive de ses réponses ».",
            "importance": 0,
            "uuid": "ed324770-7b66-4a5c-95cd-b2cc34f85cdb"
        },
        {
            "code": "Droit à la limitation et d'opposition_04",
            "description": "Vérifier que les demandes d'exercice du droit d'opposition faites sur place permettent de s'assurer de l'identité des demandeurs et des personnes qu'ils peuvent mandater.",
            "importance": 0,
            "uuid": "9e2762fd-b530-46b1-a438-b2a40c7d4f3d"
        },
        {
            "code": "Droit à la limitation et d'opposition_05",
            "description": "Vérifier que les demandes d'exercice du droit d'opposition faites par voie postale sont signées et accompagnées de la photocopie d'un titre d'identité (qui ne devrait pas être conservée sauf en cas de besoin de conserver une preuve) et qu'elles précisent l'adresse à laquelle doit parvenir la réponse.",
            "importance": 0,
            "uuid": "da19be7b-85b1-4ace-85c1-95a5cfddcf01"
        },
        {
            "code": "Droit à la limitation et d'opposition_06",
            "description": "Vérifier que les demandes d'exercice du droit d'opposition faites par voie électronique (en utilisant un canal chiffré si la transmission se fait via Internet) sont accompagnées d'un titre d'identité numérisé (qui ne devrait pas être conservé sauf en cas de besoin de conservation d'une preuve, et ce, en noir et blanc, en faible définition et sous la forme d'un fichier chiffré).",
            "importance": 0,
            "uuid": "80bac0dc-0f02-411f-885b-1d9be6939426"
        },
        {
            "code": "Droit à la limitation et d'opposition_07",
            "description": "S'assurer que le motif légitime des personnes exerçant leur droit d'opposition est fourni et apprécié (sauf dans le cas de la prospection et des traitements ayant pour fin la recherche dans le domaine de la santé, pour lesquels la personne dispose d'un droit d'opposition discrétionnaire).",
            "importance": 0,
            "uuid": "b581b87b-6219-4c82-8a2f-b1e98b7eea66"
        },
        {
            "code": "Droit à la limitation et d'opposition_08",
            "description": "S'assurer que tous les destinataires du traitement seront informés des oppositions exercées par des personnes concernées.",
            "importance": 0,
            "uuid": "866d2956-dd3b-46ee-b2bc-a41d572179d2"
        },
        {
            "code": "Droit à la limitation et d'opposition_09",
            "description": "[traitement par téléphone] Prévoir un mécanisme permettant aux personnes concernées de signifier leur opposition à l'aide du téléphone.",
            "importance": 0,
            "uuid": "8e98bc8a-ce48-415a-9568-3428a13b3616"
        },
        {
            "code": "Droit à la limitation et d'opposition_10",
            "description": "[traitement par formulaire électronique] Créer un formulaire, facilement accessible, avec des cases à décocher (dit « opt-out ») ou prévoir la possibilité de se désinscrire d'un service (suppression de compte).",
            "importance": 0,
            "uuid": "2d59e2ad-27de-4939-896e-30beb57ad2e3"
        },
        {
            "code": "Droit à la limitation et d'opposition_11",
            "description": "[traitement par courrier électronique] S'assurer que l'expéditeur des messages apparaît très clairement.",
            "importance": 0,
            "uuid": "065ce986-8708-4c0c-9daf-5714ceec2e49"
        },
        {
            "code": "Droit à la limitation et d'opposition_12",
            "description": "[traitement par courrier électronique] S'assurer que le corps des messages est en rapport avec le sujet des messages.",
            "importance": 0,
            "uuid": "551dec70-2bb3-4113-846c-690e82881a60"
        },
        {
            "code": "Droit à la limitation et d'opposition_13",
            "description": "[traitement par courrier électronique] Prévoir une opposition en répondant au message ou en cliquant sur un lien permettant de s'opposer. La personne ne doit pas avoir besoin de s'authentifier pour être désinscrite.",
            "importance": 0,
            "uuid": "e13b23d5-65bc-4ebe-aa41-d98b6efaca5d"
        },
        {
            "code": "Droit à la limitation et d'opposition_14",
            "description": "[traitement par un objet connecté ou une application mobile] Proposer des paramètres « Vie privée » dans les applications mobiles.",
            "importance": 0,
            "uuid": "228ef7b0-3a31-484e-9840-c56e1e2903ec"
        },
        {
            "code": "Droit à la limitation et d'opposition_15",
            "description": "[traitement par un objet connecté ou une application mobile] Permettre à l'utilisateur de l'application mobile de s'opposer à la collecte de données particulières.",
            "importance": 0,
            "uuid": "e8554843-c50b-496f-bbf2-b6de7a9c9efc"
        },
        {
            "code": "Droit à la limitation et d'opposition_16",
            "description": "[traitement par un objet connecté ou une application mobile] Prendre en compte les utilisateurs mineurs.",
            "importance": 0,
            "uuid": "e7b9a183-4b66-46e1-b308-4b4236e65845"
        },
        {
            "code": "Droit à la limitation et d'opposition_17",
            "description": "[traitement par un objet connecté ou une application mobile] Arrêter effectivement toute collecte de données si l'utilisateur retire son consentement.",
            "importance": 0,
            "uuid": "8813246d-90df-4a98-a2a5-abbfae9396c6"
        },
        {
            "code": "Droit d'accès et à la portabilité_01",
            "description": "Déterminer les moyens pratiques qui vont être mis en oeuvre pour permettre l'exercice du droit d'accès. Ce droit doit pouvoir être exercé le plus rapidement possible, sans jamais excéder deux mois (un mois dans le cadre du RGPD) pour des données, dans une forme similaire à celle du traitement (voie postale et/ou voie électronique). En outre, les démarches ne doivent pas décourager les personnes concernées et ne doivent pas leur occasionner de frais excédant le coût de la reproduction.",
            "importance": 0,
            "uuid": "2cb24716-0d53-4c63-858b-cf6324205306"
        },
        {
            "code": "Droit d'accès et à la portabilité_02",
            "description": "S'assurer que le droit d'accès pourra toujours s'exercer.",
            "importance": 0,
            "uuid": "178520c6-b3ac-4d08-904c-b1c78b244c32"
        },
        {
            "code": "Droit d'accès et à la portabilité_03",
            "description": "Vérifier que les demandes d'exercice du droit d'accès faites sur place permettent de s'assurer de l'identité des demandeurs et des personnes qu'ils peuvent mandater.",
            "importance": 0,
            "uuid": "95f5461d-4f4c-4371-b20f-f2f70f26f8f9"
        },
        {
            "code": "Droit d'accès et à la portabilité_04",
            "description": "Vérifier que les demandes d'exercice du droit d'accès faites par voie postale sont signées et accompagnées de la photocopie d'un titre d'identité (qui ne devrait pas être conservée sauf en cas de besoin de conserver une preuve) et qu'elles précisent l'adresse à laquelle doit parvenir la réponse.",
            "importance": 0,
            "uuid": "a453a528-9893-461c-ade1-e338f24ba34b"
        },
        {
            "code": "Droit d'accès et à la portabilité_05",
            "description": "Vérifier que les demandes d'exercice du droit d'accès faites par voie électronique (en utilisant un canal chiffré si la transmission se fait via Internet) sont accompagnées d'un titre d'identité numérisé (qui ne devrait pas être conservé sauf en cas de besoin de conservation d'une preuve, et ce, en noir et blanc, en faible définition et sous la forme d'un fichier chiffré).",
            "importance": 0,
            "uuid": "f4841bb7-12d6-445c-affb-4414a91c1f73"
        },
        {
            "code": "Droit d'accès et à la portabilité_06",
            "description": "S'assurer de la possibilité de fournir toutes les informations qui peuvent être demandées par les personnes concernées, tout en protégeant les données des tiers.",
            "importance": 0,
            "uuid": "20826216-5939-47a0-8363-b11c050be8e0"
        },
        {
            "code": "Droit d'accès et à la portabilité_07",
            "description": "[dossiers médicaux] Communiquer les informations au plus tard dans les huit jours suivant la demande et dans les deux mois si les informations remontent à plus de cinq ans (à compter de la date à laquelle l'information médicale a été constituée).",
            "importance": 0,
            "uuid": "b870e46f-3bb8-42bc-ac50-7bf66371d346"
        },
        {
            "code": "Droit d'accès et à la portabilité_08",
            "description": "[dossiers médicaux] Permettre l'exercice du droit d'accès par les titulaires de l'autorité parentale, pour les mineurs, ou le représentant légal, pour les personnes faisant l'objet d'une mesure de tutelle.",
            "importance": 0,
            "uuid": "24e51c4d-4249-4473-9e0f-1093b49360d0"
        },
        {
            "code": "Droit de rectification et d'effacement_01",
            "description": "Déterminer les moyens pratiques qui vont être mis en oeuvre pour permettre l'exercice du droit de rectification. Ce droit doit pouvoir être exercé le plus rapidement possible, sans jamais excéder deux mois, dans une forme similaire à celle du traitement (voie postale et/ou voie électronique). En outre, les démarches à effectuer ne doivent pas décourager les personnes concernées et ne doivent pas leur occasionner de frais.",
            "importance": 0,
            "uuid": "9ee6c61b-4ef7-4e88-81ed-ae1bd08e4452"
        },
        {
            "code": "Droit de rectification et d'effacement_02",
            "description": "S'assurer que le droit de rectification pourra toujours s'exercer.",
            "importance": 0,
            "uuid": "f8495542-f8f0-4067-ac16-a74d560ebfef"
        },
        {
            "code": "Droit de rectification et d'effacement_03",
            "description": "S'assurer que le droit d'effacement pourra toujours s'exercer.",
            "importance": 0,
            "uuid": "4e1e8d6e-6db0-4f3b-8243-66c3368e6ed1"
        },
        {
            "code": "Droit de rectification et d'effacement_04",
            "description": "S'assurer que l'identité des demandeurs va être vérifiée.",
            "importance": 0,
            "uuid": "ebd8e891-cab9-45bd-9ba0-d52fc5a5ba97"
        },
        {
            "code": "Droit de rectification et d'effacement_05",
            "description": "S'assurer que la véracité des rectifications demandées sera vérifiée.",
            "importance": 0,
            "uuid": "bf9dfd20-0e6a-423e-8f34-8fc14849cae4"
        },
        {
            "code": "Droit de rectification et d'effacement_06",
            "description": "S'assurer de l'effacement effectif des données à supprimer.",
            "importance": 0,
            "uuid": "a2d7b18a-0192-48ca-baee-c2c2ad992e13"
        },
        {
            "code": "Droit de rectification et d'effacement_07",
            "description": "S'assurer qu'une confirmation sera fournie aux demandeurs.",
            "importance": 0,
            "uuid": "a641888a-64ba-41d6-81a1-5cad2f59fba6"
        },
        {
            "code": "Droit de rectification et d'effacement_08",
            "description": "S'assurer que les destinataires à qui des données auraient été transmises seront informés des rectifications faites.",
            "importance": 0,
            "uuid": "7e5943e7-1779-4b96-adca-28408d3a5dc2"
        },
        {
            "code": "Droit de rectification et d'effacement_09",
            "description": "Suite à une demande d'effacement, préciser à l'utilisateur si des données personnelles seront conservées malgré tout (contraintes techniques, obligations légales, etc.).",
            "importance": 0,
            "uuid": "ee24573b-5e0a-4afc-9049-4aeb14fac625"
        },
        {
            "code": "Droit de rectification et d'effacement_10",
            "description": "Mettre en oeuvre le droit à l'oubli pour les mineurs.",
            "importance": 0,
            "uuid": "05313636-e285-4da0-ad31-7d581a0cd21c"
        },
        {
            "code": "Droit de rectification et d'effacement_11",
            "description": "[publicité ciblée en ligne] Prévoir un accès par la personne aux centres d'intérêt établis pour son profil et la possibilité de les modifier. L'authentification de la personne peut se faire sur la base des informations utilisées pour accéder à son compte ou sur la base du cookie (ou équivalent) présent sur son poste.",
            "importance": 0,
            "uuid": "b3e8c9d9-f85e-4a82-b6af-a03acee7ff49"
        },
        {
            "code": "Durées de conservation_01",
            "description": "Définir, pour chaque catégorie de données, des durées de conservation limitées dans le temps et en adéquation avec la finalité du traitement et/ou des contraintes légales.",
            "importance": 0,
            "uuid": "21b3119e-23cd-4616-ac86-ec3bfd6e1e0b"
        },
        {
            "code": "Durées de conservation_02",
            "description": "Vérifier que le traitement permet de détecter la fin de la durée de conservation (mettre en place un mécanisme automatique basé sur la date de création des données ou de leur dernier usage).",
            "importance": 0,
            "uuid": "2ea0ebdd-01da-48a5-bdba-f13fce7426ea"
        },
        {
            "code": "Durées de conservation_03",
            "description": "Vérifier que le traitement permet de supprimer les données en fin de durée de conservation et que le moyen choisi pour les supprimer est approprié aux risques qui pèsent sur la vie privée des personnes concernées.",
            "importance": 0,
            "uuid": "c1c6c1cb-65fd-4415-9a03-2e133cc730f4"
        },
        {
            "code": "Durées de conservation_04",
            "description": "Une fois la durée de conservation atteinte, sous réserve de l'archivage intermédiaire pour les données qui le nécessitent, supprimer les données sans délai.",
            "importance": 0,
            "uuid": "e43d69d6-3c04-411e-adc7-e5b4f9067694"
        },
        {
            "code": "Environnemental_01",
            "description": "Placer les produits dangereux (inflammables, combustibles, corrosifs, explosifs, aérosols, humides, etc.) dans des lieux de stockage appropriés et éloignés de ceux où sont traitées des données.",
            "importance": 0,
            "uuid": "3c0eeef6-e291-4877-8f5d-6059880514a9"
        },
        {
            "code": "Environnemental_02",
            "description": "Éviter les zones géographiques dangereuses (zones inondables, proximité d'aéroports, zones d'industries chimiques, zones sismiques, zones volcaniques, etc.).",
            "importance": 0,
            "uuid": "fac6dd31-c831-4665-b3e7-8ead3e3b82a5"
        },
        {
            "code": "Environnemental_03",
            "description": "Ne pas stocker les données dans un état étranger sauf s'il existe des garanties permettant d'assurer un niveau de protection des données suffisant.",
            "importance": 0,
            "uuid": "e64271a6-ab78-442c-851d-cfddbabd6f7c"
        },
        {
            "code": "Exploitation_01",
            "description": "Documenter les procédures d'exploitation, les tenir à jour et les communiquer à tous les utilisateurs concernés (toute action sur le système, qu'il s'agisse d'opérations d'administration ou de la simple utilisation d'une application, doit être expliquée dans des documents auxquels les utilisateurs peuvent se référer).",
            "importance": 0,
            "uuid": "05dd9f8d-9c84-456c-9b93-17002e38cb67"
        },
        {
            "code": "Exploitation_02",
            "description": "Tenir à jour un inventaire des logiciels et matériels utilisés en exploitation.",
            "importance": 0,
            "uuid": "dc3c264f-b898-41ea-949e-3aff913e45a7"
        },
        {
            "code": "Exploitation_03",
            "description": "Réaliser une veille sur vulnérabilités découvertes dans les logiciels (y compris les firmwares) utilisés en exploitation, et les corriger dès que possible.",
            "importance": 0,
            "uuid": "a65cce3e-6ca4-460c-975b-878ea60f1663"
        },
        {
            "code": "Exploitation_04",
            "description": "Formaliser les procédures de mises à jour matérielles et logicielles.",
            "importance": 0,
            "uuid": "690cc289-f2f6-4920-8056-73c61ebb7b26"
        },
        {
            "code": "Exploitation_05",
            "description": "Interdire l'usage des serveurs de production (serveurs de base de données, serveur web, serveur de messagerie, etc.) pour d'autres fins que celles prévues initialement.",
            "importance": 0,
            "uuid": "3202bc26-de65-40cf-a46c-286ee8dfac1b"
        },
        {
            "code": "Exploitation_06",
            "description": "Utiliser des unités de stockage de données utilisant des mécanismes de redondance matérielle (tel que le RAID), ou bien des mécanismes de duplication des données entre plusieurs serveurs et/ou sites.",
            "importance": 0,
            "uuid": "86b75046-44bb-485c-aba2-1a7ee41c02c7"
        },
        {
            "code": "Exploitation_07",
            "description": "Vérifier que le dimensionnement des capacités de stockage et de calcul est suffisant pour assurer le fonctionnement correct des traitements, même en cas de pic d'activité.",
            "importance": 0,
            "uuid": "9f0ee3ea-d5e8-43db-a10d-71de859a9720"
        },
        {
            "code": "Exploitation_08",
            "description": "Vérifier que les conditions physiques d'hébergement (température, humidité, fourniture d'énergie, etc.) sont appropriées à l'usage prévu des matériels, et incluent des mécanismes de secours (onduleur et/ou alimentation de secours et/ou groupe électrogène).",
            "importance": 0,
            "uuid": "860fcb9f-407b-4cdb-8bc8-e1b49f2ee7af"
        },
        {
            "code": "Exploitation_09",
            "description": "Limiter l'accès physique aux matériels sensibles et/ou qui ont une grande valeur marchande.",
            "importance": 0,
            "uuid": "4c7a25c3-9402-4547-83d2-7711f1bb47a9"
        },
        {
            "code": "Exploitation_10",
            "description": "Limiter les possibilités de modification des matériels.",
            "importance": 0,
            "uuid": "bf12c3b9-987b-4fe1-a2e0-3fdae3a93cb4"
        },
        {
            "code": "Exploitation_11",
            "description": "Prévoir un Plan de Reprise d'Activité (PRA) ou un Plan de Continuité d'Activité (PCA), en fonction des objectifs de disponibilité des traitements mis en oeuvre.",
            "importance": 0,
            "uuid": "b60140df-0bd7-428e-a348-f673449c258b"
        },
        {
            "code": "Exploitation_12",
            "description": "Mettre en place une procédure de gestion des incidents de sécurité permettant de les détecter, les enregistrer, les qualifier et les traiter.",
            "importance": 0,
            "uuid": "13b05332-8b7f-40fb-bbea-164bc1e2b3f6"
        },
        {
            "code": "Finalité_01",
            "description": "Détailler les finalités de traitement des données et justifier leur légitimité.",
            "importance": 0,
            "uuid": "2c9a3e94-058c-459d-90d7-a79d4f0f9db2"
        },
        {
            "code": "Finalité_02",
            "description": "Expliciter les finalités de partage avec des tiers ainsi que les finalités de traitement de données pour l'amélioration du service.",
            "importance": 0,
            "uuid": "60dfb6f8-6482-4b93-ad42-db9b6d7311aa"
        },
        {
            "code": "Finalité_03",
            "description": "Expliciter les modalités particulières du traitement, en précisant notamment les croisements de données s'il y a lieu.",
            "importance": 0,
            "uuid": "ada21354-1cd6-4738-831d-aa3168f7a2e3"
        },
        {
            "code": "Fondement_01",
            "description": "Déterminer et justifier le critère de licéité qui s'applique au traitement de données.",
            "importance": 0,
            "uuid": "11c0774f-789a-4b87-a668-7723fcb5e02e"
        },
        {
            "code": "Formalités préalables_01",
            "description": "Vérifier que le traitement de données est effectivement conforme à la finalité déclarée.",
            "importance": 0,
            "uuid": "a04441de-c785-4997-868d-d3df75d6a4df"
        },
        {
            "code": "Formalités préalables_02",
            "description": "Réaliser une étude d'impact sur la vie privée (EIVP ou PIA) et le faire valider.",
            "importance": 0,
            "uuid": "f4a0cca8-e784-44d5-b695-3e9676724678"
        },
        {
            "code": "Formalités préalables_03",
            "description": "Consulter l'autorité de contrôle si les risques résiduels, à l'issue d' une étude d'impact sur la vie privée, sont importants, selon l'article 36 du règlement général sur la protection des données (RGPD).",
            "importance": 0,
            "uuid": "662a2926-8deb-4ebf-835e-7d0c7bc7b826"
        },
        {
            "code": "Formalités préalables_04",
            "description": "Réaliser les autres formalités sectorielles et contractuelles applicables au traitement (par exemple, formalités liées à d'autres codes et règlements, contrat avec une source externe de données, etc.).",
            "importance": 0,
            "uuid": "0c96d60f-1d8e-4a67-92a9-9d24997d34a8"
        },
        {
            "code": "Gestion des incidents et des violations de données_01",
            "description": "Définir les rôles et responsabilités des parties prenantes, ainsi que les procédures de remontées d'informations et de réaction, en cas de violation de données.",
            "importance": 0,
            "uuid": "900e1886-88c0-4a84-9a94-0d2dec073482"
        },
        {
            "code": "Gestion des incidents et des violations de données_02",
            "description": "Établir un annuaire des personnes en charge de gérer les violations de données.",
            "importance": 0,
            "uuid": "9f095104-f66d-42ca-906a-2f104c937265"
        },
        {
            "code": "Gestion des incidents et des violations de données_03",
            "description": "Élaborer un plan de réaction en cas de violation de données pour chaque risque élevé, le tenir à jour et le tester périodiquement.",
            "importance": 0,
            "uuid": "4feb5fb9-0316-4653-99a1-b41d47825205"
        },
        {
            "code": "Gestion des incidents et des violations de données_04",
            "description": "Permettre de qualifier les violations de données selon leur impact sur la vie privée des personnes concernées.",
            "importance": 0,
            "uuid": "0c84b441-a79b-4747-a9e1-358cc21ffb2f"
        },
        {
            "code": "Gestion des incidents et des violations de données_05",
            "description": "Traiter les évènements selon leur qualification (évènement, incident, sinistre, crise, etc.).",
            "importance": 0,
            "uuid": "6f9d9a9a-600e-40fb-862f-4e6d3f6e7f45"
        },
        {
            "code": "Gestion des incidents et des violations de données_06",
            "description": "Tenir à jour une documentation des violations de données.",
            "importance": 0,
            "uuid": "113e65f1-51b1-481d-89c4-0d2167db3d35"
        },
        {
            "code": "Gestion des incidents et des violations de données_07",
            "description": "Étudier la possibilité d'améliorer les mesures de sécurité en fonction des violations de données qui ont eu lieu.",
            "importance": 0,
            "uuid": "b01b9ad8-c2ef-42f4-b4ac-be1bc06203d4"
        },
        {
            "code": "Gestion des personnels_01",
            "description": "Vérifier que les personnes ayant accès aux données et au traitement sont aptes à exercer leur fonction.",
            "importance": 0,
            "uuid": "37bb5c77-1212-462b-9c7d-f6e84290c2ea"
        },
        {
            "code": "Gestion des personnels_02",
            "description": "S'assurer que les conditions de travail des personnes ayant accès aux données et au traitement sont satisfaisantes.",
            "importance": 0,
            "uuid": "ab831b8f-d2a2-4c16-99d6-3510c1c6923b"
        },
        {
            "code": "Gestion des personnels_03",
            "description": "Sensibiliser les personnes ayant accès aux données et au traitement aux risques liés à l'exploitation de leurs vulnérabilités.",
            "importance": 0,
            "uuid": "1b67a440-471e-450e-a90d-799670a16333"
        },
        {
            "code": "Gestion des projets_01",
            "description": "Utiliser une démarche de gestion des risques dès l'élaboration d'un service ou la conception d'une application.",
            "importance": 0,
            "uuid": "656dbbb9-a017-4a8c-b92c-2755f8bb303b"
        },
        {
            "code": "Gestion des projets_02",
            "description": "Privilégier le recours à des labels de confiance dans les domaines de la SSI et la protection des données personnelles (procédures, produits, systèmes de management, organismes, personnes, etc.).",
            "importance": 0,
            "uuid": "9ea3fc0a-f56b-4e33-a78a-2be467a6ea29"
        },
        {
            "code": "Gestion des projets_03",
            "description": "Privilégier le recours à des référentiels éprouvés et reconnus.",
            "importance": 0,
            "uuid": "14d0e0b8-2313-4401-9111-60e3301cacf2"
        },
        {
            "code": "Gestion des projets_04",
            "description": "Effectuer les formalités auprès de l'autorité de contrôle avant le lancement d'un nouveau traitement.",
            "importance": 0,
            "uuid": "43f8343d-5c13-41fc-aa1e-047ede81f29d"
        },
        {
            "code": "Gestion des projets_05",
            "description": "[acquisitions de logiciels] Vérifier que les développeurs et les mainteneurs disposent des ressources suffisantes pour maîtriser leurs actions.",
            "importance": 0,
            "uuid": "80759e48-4710-45f8-b416-afe17878b7a2"
        },
        {
            "code": "Gestion des projets_06",
            "description": "[acquisitions de logiciels] Privilégier les applications interopérables et ergonomiques.",
            "importance": 0,
            "uuid": "934e5306-bd2e-4f8b-bdb4-33e26bd9ef67"
        },
        {
            "code": "Gestion des projets_07",
            "description": "[acquisitions de logiciels] Effectuer les développements informatiques dans un environnement informatique distinct de celui de la production.",
            "importance": 0,
            "uuid": "e6502e29-d199-40d9-8a51-b343fca3b0cb"
        },
        {
            "code": "Gestion des projets_08",
            "description": "[acquisitions de logiciels] Protéger la disponibilité, l'intégrité et si besoin la confidentialité des codes sources.",
            "importance": 0,
            "uuid": "1a4fc4a7-5c98-4081-8c8f-3488ff593960"
        },
        {
            "code": "Gestion des projets_09",
            "description": "[acquisitions de logiciels] Imposer des formats de saisie et d'enregistrement des données qui minimisent les données collectées.",
            "importance": 0,
            "uuid": "4e40b7a9-b487-47e0-acf5-f45f71f38f44"
        },
        {
            "code": "Gestion des projets_10",
            "description": "[acquisitions de logiciels] S'assurer que les formats de données sont compatibles avec la mise en oeuvre d'une durée de conservation.",
            "importance": 0,
            "uuid": "a8923625-8999-44a0-a3b7-9bcead357b55"
        },
        {
            "code": "Gestion des projets_11",
            "description": "[acquisitions de logiciels] Intégrer le contrôle d'accès aux données par des catégories d'utilisateurs au moment du développement.",
            "importance": 0,
            "uuid": "5eb06b3b-9b41-4090-8ce1-b3874699f862"
        },
        {
            "code": "Gestion des projets_12",
            "description": "[acquisitions de logiciels] Éviter le recours à des zones de texte libre, et si de telles zones sont requises, faire apparaître soit en filigrane, soit comme texte prérempli s'effaçant sitôt que l'utilisateur décide d'écrire dans la zone, les mentions suivantes : « Les personnes disposent d'un droit d'accès aux informations contenues dans cette zone de texte. Les informations que vous y inscrivez doivent être PERTINENTES au regard du contexte. Elles ne doivent pas comporter d'appréciation subjective ni faire apparaître, \"directement ou indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelles de celles-ci\" ».",
            "importance": 0,
            "uuid": "a03ca1c2-c087-44b5-81e4-751c296ff051"
        },
        {
            "code": "Gestion des projets_13",
            "description": "[acquisitions de logiciels] Interdire l'utilisation de données réelles avant la mise en opération, et les anonymiser si nécessaire.",
            "importance": 0,
            "uuid": "922ab9c2-d9d1-486e-bc68-14636b70544c"
        },
        {
            "code": "Gestion des projets_14",
            "description": "[acquisitions de logiciels] Vérifier que les logiciels fonctionnent correctement et conformément lors de la recette.",
            "importance": 0,
            "uuid": "5dd3704d-5f27-43dd-945c-94a42b69bf2a"
        },
        {
            "code": "Gestion des risques_01",
            "description": "Recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées (ex : fichiers client, contrats) et les supports sur lesquels ils reposent.",
            "importance": 0,
            "uuid": "31b39fb1-84e9-407c-ade5-c59aac597e8a"
        },
        {
            "code": "Gestion des risques_02",
            "description": "Évaluer la manière dont les principes fondamentaux (information, consentement, droit d'accès...) sont respectés.",
            "importance": 0,
            "uuid": "a6e56295-2436-4a4c-823d-eaf42b481a36"
        },
        {
            "code": "Gestion des risques_03",
            "description": "Apprécier les risques de chaque traitement.",
            "importance": 0,
            "uuid": "f73a7ecb-79f4-4319-8041-7c60cd642cce"
        },
        {
            "code": "Gestion des risques_04",
            "description": "Mettre en oeuvre et vérifier les mesures prévues. Si les mesures existantes et prévues sont jugées comme appropriées afin de garantir un niveau de sécurité adapté aux risques, il convient de s'assurer qu'elles soient appliquées et contrôlées.",
            "importance": 0,
            "uuid": "ba370be8-68f2-41f3-b39c-a2d4fa56ed3c"
        },
        {
            "code": "Gestion des risques_05",
            "description": "Faire réaliser des audits de sécurité périodiques, si possible annuels. Chaque audit devrait donner lieu à un plan d'action dont la mise en oeuvre devrait être suivie au plus haut niveau de l'organisme.",
            "importance": 0,
            "uuid": "01d93bc9-1176-41f4-b8d2-0fba0e6721fc"
        },
        {
            "code": "Gestion des risques_06",
            "description": "Ajuster la cartographie à chaque évolution majeure et de manière périodique.",
            "importance": 0,
            "uuid": "f4ed6a9b-3efa-464c-a7e5-ac416537614c"
        },
        {
            "code": "Information des personnes concernées_01",
            "description": "Déterminer et justifier les moyens pratiques qui vont être mis en oeuvre pour informer les personnes concernées, ou justifier de l'impossibilité de leur mise en oeuvre.",
            "importance": 0,
            "uuid": "56e9a1bb-3ed4-4b74-92a3-63da11d9d12e"
        },
        {
            "code": "Information des personnes concernées_02",
            "description": "S'assurer que l'information sera réalisée de manière complète, claire et adaptée au public visé, en fonction de la nature des données et des moyens pratiques choisis.",
            "importance": 0,
            "uuid": "78255ed3-a07e-4082-84b8-255c3e7218a3"
        },
        {
            "code": "Information des personnes concernées_03",
            "description": "S'assurer que l'information sera réalisée au plus tard au moment où seront collectées les données.",
            "importance": 0,
            "uuid": "4cf842f7-8d29-46eb-9f69-58b9f451cb4c"
        },
        {
            "code": "Information des personnes concernées_04",
            "description": "S'assurer que la collecte ne puisse pas être effectuée sans information.",
            "importance": 0,
            "uuid": "81719522-7886-4bbb-9a64-7f180f33e3f6"
        },
        {
            "code": "Information des personnes concernées_05",
            "description": "Si possible, prévoir un moyen de prouver que l'information a été faite.",
            "importance": 0,
            "uuid": "c306c451-ef33-4501-99e6-0e1d1ebc5c56"
        },
        {
            "code": "Information des personnes concernées_06",
            "description": "[salariés d'un organisme] Obtenir l'avis préalable des institutions représentatives du personnel dans les cas prévus par le Code du travail.",
            "importance": 0,
            "uuid": "f074b4ef-e83d-46b8-af79-404ed8f686e7"
        },
        {
            "code": "Information des personnes concernées_07",
            "description": "[salariés d'un organisme] Utiliser le moyen le plus approprié à la culture de l'organisme.",
            "importance": 0,
            "uuid": "104f9747-e8f2-4c66-bbed-a213c285a37d"
        },
        {
            "code": "Information des personnes concernées_08",
            "description": "[collecte de données via un site Internet] Faire figurer une information à destination des internautes directement ou facilement accessible.",
            "importance": 0,
            "uuid": "3c5f2ea5-e242-4118-8ac9-7a07f4dc8694"
        },
        {
            "code": "Information des personnes concernées_09",
            "description": "[collecte de données via une application mobile] Faire figurer une information à destination des utilisateurs directement ou facilement accessible.",
            "importance": 0,
            "uuid": "21af75d8-d761-4a91-8952-c9134dc0cb31"
        },
        {
            "code": "Information des personnes concernées_10",
            "description": "[collecte de données via une application mobile] Informer l'utilisateur si l'application est susceptible d'accéder à des identifiants de l'appareil, en précisant s'ils sont communiqués à des tiers.",
            "importance": 0,
            "uuid": "4a24c05f-1761-4b37-a636-3774d5e228b2"
        },
        {
            "code": "Information des personnes concernées_11",
            "description": "[collecte de données via une application mobile] Informer l'utilisateur si l'application est susceptible de fonctionner en arrière-plan.",
            "importance": 0,
            "uuid": "52c55030-ddac-4ded-b9ae-b17f1bcb463e"
        },
        {
            "code": "Information des personnes concernées_12",
            "description": "[collecte de données via une application mobile] Présenter à l'utilisateur les protections d'accès à l'appareil.",
            "importance": 0,
            "uuid": "df20a7a8-8c25-45e4-80e6-b704fcc3606f"
        },
        {
            "code": "Information des personnes concernées_13",
            "description": "[collecte de données par téléphone] Délivrer un message automatique avant que la conversation soit engagée, précisant notamment les droits des personnes, et le cas échéant, les finalités de l'enregistrement de la conversation (formation, enquête sur la qualité du service rendu, etc.), en leur offrant la possibilité de s'opposer à l'enregistrement (pour motif légitime).",
            "importance": 0,
            "uuid": "ff0e48bd-b80a-4de5-8c43-224157753353"
        },
        {
            "code": "Information des personnes concernées_14",
            "description": "[collecte de données par téléphone] Mettre en place des moyens permettant l'authentification de l'appelant (ex : par une information connue seulement de l'organisme et de la personne concernée).",
            "importance": 0,
            "uuid": "ddfd140c-b23e-4cc8-829e-f06867a5a8ec"
        },
        {
            "code": "Information des personnes concernées_15",
            "description": "[collecte de données via un formulaire] Placer la mention appropriée sur le formulaire avec une typographie identique au reste du document.",
            "importance": 0,
            "uuid": "06726271-3ddf-4af6-a5ac-327e477d8e36"
        },
        {
            "code": "Information des personnes concernées_16",
            "description": "[publicité ciblée] Rendre accessible l'information des internautes de manière à ce qu'elle soit parfaitement visible et lisible.",
            "importance": 0,
            "uuid": "1eb94b5b-fc79-4327-ac91-bb6919d89020"
        },
        {
            "code": "Information des personnes concernées_17",
            "description": "[publicité ciblée] Informer les internautes sur les différentes formes de publicité ciblée auxquelles ils sont susceptibles d'être exposés via le service qu'ils consultent et les divers procédés utilisés, les catégories d'informations traitées aux fins d'adapter le contenu publicitaire et, en tant que de besoin, les informations non recueillies, leurs possibilités pour consentir à l'affichage de publicités comportementales ou personnalisées. L'information et le recueil du consentement doivent être effectués avant tout stockage d'information ou obtention de l'accès à des informations déjà stockées dans l'équipement terminal.",
            "importance": 0,
            "uuid": "d294b307-f06c-45ac-9717-46c0a22c8c85"
        },
        {
            "code": "Information des personnes concernées_18",
            "description": "[mise à jour d'un traitement existant] Informer plus particulièrement sur les nouveautés du traitement (nouvelles finalités, nouveaux destinataires).",
            "importance": 0,
            "uuid": "601f4aa9-9726-446d-9524-780ffaa31935"
        },
        {
            "code": "Logiciels malveillants_01",
            "description": "Installer un antivirus sur les serveurs et postes de travail et le configurer.",
            "importance": 0,
            "uuid": "df4f723b-d159-445d-aa91-d1898edfc86e"
        },
        {
            "code": "Logiciels malveillants_02",
            "description": "Tenir les logiciels antivirus à jour.",
            "importance": 0,
            "uuid": "952e2fdb-a649-49bb-8d96-328045daddd0"
        },
        {
            "code": "Logiciels malveillants_03",
            "description": "Mettre en oeuvre des mesures de filtrage permettant de filtrer les flux entrants/sortants du réseau (firewall, proxy, etc.).",
            "importance": 0,
            "uuid": "fb5a202a-3234-4d74-a811-31527881ab43"
        },
        {
            "code": "Logiciels malveillants_04",
            "description": "Faire remonter les évènements de sécurité de l'antivirus sur un serveur centralisé pour analyse statistique et gestion des problèmes à postériori (dans le but de détecter un serveur infecté, un virus détecté et non éradiqué par l'antivirus, etc.).",
            "importance": 0,
            "uuid": "8cf43928-2c23-4794-89dd-364eb704c8f1"
        },
        {
            "code": "Logiciels malveillants_05",
            "description": "Installer un programme de lutte contre les logiciels espions (anti-spyware) sur les postes de travail, le configurer et le tenir à jour.",
            "importance": 0,
            "uuid": "7ab822fa-8a63-45a0-952d-5e8fa4dbcfe9"
        },
        {
            "code": "Maintenance_01",
            "description": "Encadrer par un contrat de sous-traitance la réalisation des opérations de maintenance lorsqu'elles sont effectuées par des prestataires.",
            "importance": 0,
            "uuid": "8600d1ea-a92d-40c2-9384-85c140c3dc3a"
        },
        {
            "code": "Maintenance_02",
            "description": "Enregistrer toutes les opérations de maintenance dans une main courante.",
            "importance": 0,
            "uuid": "96a6e72d-02b7-4a7f-a8e8-9426dd5f75e3"
        },
        {
            "code": "Maintenance_03",
            "description": "Encadrer les opérations de télémaintenance.",
            "importance": 0,
            "uuid": "3ed3d127-4a05-48d9-b000-e113d0857393"
        },
        {
            "code": "Maintenance_04",
            "description": "Chiffrer ou effacer les données présentes sur les matériels (poste de travail fixe ou nomade, serveurs, etc.) envoyés en maintenance externe. En cas d'impossibilité déposer les supports de stockage de l'équipement avant l'envoi en maintenance ou gérer la maintenance en interne.",
            "importance": 0,
            "uuid": "0afcfa8a-cb1d-4465-ba6f-301e549631d0"
        },
        {
            "code": "Maintenance_05",
            "description": "[postes de travail] Lors des opérations de maintenance nécessitant une prise en main à distance sur un poste de travail, ne réaliser l'opération qu'après avoir obtenu l'accord de l'utilisateur, et lui indiquer à l'écran si la prise en main est effective.",
            "importance": 0,
            "uuid": "50e15e94-a4d6-4f70-9087-9e8451be42f2"
        },
        {
            "code": "Maintenance_06",
            "description": "[postes de travail] Lorsqu'une opération de maintenance nécessite une intervention physique sur un poste de travail contenant des données sensibles, supprimer les données pendant la maintenance.",
            "importance": 0,
            "uuid": "ff149a3e-8f3e-43ae-821c-2b6a3a6b4b26"
        },
        {
            "code": "Maintenance_07",
            "description": "[téléphone mobile] Configurer les téléphones avant de les remettre aux utilisateurs.",
            "importance": 0,
            "uuid": "a7bb0169-11b2-4aee-a3f8-78b955431351"
        },
        {
            "code": "Maintenance_08",
            "description": "[téléphone mobile] Informer les utilisateurs, par exemple sous la forme d'une note accompagnant la livraison, sur l'usage du téléphone, des applications (ex : business mail, Exchange) et des services fournis, ainsi que sur les règles de sécurité à respecter.",
            "importance": 0,
            "uuid": "c79a6fe4-3f57-43b3-918b-b1adee8c0d1c"
        },
        {
            "code": "Maintenance_09",
            "description": "[supports de stockage] Effacer de façon sécurisée ou bien détruire physiquement les supports de stockage mis au rebut.",
            "importance": 0,
            "uuid": "3c49be1d-afcd-40f5-8184-3968026d95be"
        },
        {
            "code": "Maintenance_10",
            "description": "[supports de stockage] Lors des opérations de maintenance nécessitant une prise en main à distance sur un poste de travail, ne réaliser l'opération qu'après avoir obtenu l'accord de l'utilisateur.",
            "importance": 0,
            "uuid": "ad17dd47-cb36-4cdf-9628-2969a2e4a2e0"
        },
        {
            "code": "Maintenance_11",
            "description": "[imprimantes et copieurs multifonctions] Dans le cas d'une maintenance par un tiers, prévoir les mesures destinées à empêcher l'accès aux données.",
            "importance": 0,
            "uuid": "84da6fc4-ff9e-471b-b7c7-cc813bb861c0"
        },
        {
            "code": "Maintenance_12",
            "description": "[imprimantes et copieurs multifonctions] Dans le cas d'une télémaintenance par un tiers à une imprimante ou copieur multifonction hébergé localement, prendre des mesures spécifiques pour protéger chaque accès.",
            "importance": 0,
            "uuid": "425074c4-142d-40f4-a094-37940e4fd731"
        },
        {
            "code": "Maintenance_13",
            "description": "[imprimantes et copieurs multifonctions] Empêcher l'accès à des données stockées sur des imprimantes ou copieurs multifonctions mis au rebut.",
            "importance": 0,
            "uuid": "09c09d1b-8191-472e-98e6-435847ddffb6"
        },
        {
            "code": "Matériels_01",
            "description": "Tenir à jour un inventaire des ressources informatiques utilisées.",
            "importance": 0,
            "uuid": "c2ec9503-2c3d-4d23-8641-a6af1fae8cbd"
        },
        {
            "code": "Matériels_02",
            "description": "Cloisonner les ressources de l'organisme en cas de partage de locaux.",
            "importance": 0,
            "uuid": "666ef708-8443-4f39-b91d-942e4c320c13"
        },
        {
            "code": "Matériels_03",
            "description": "Empêcher l'accès à des données stockées sur des ressources informatiques mises au rebut.",
            "importance": 0,
            "uuid": "f284858f-d562-4cfc-80a0-4f2bbecfc4fb"
        },
        {
            "code": "Matériels_04",
            "description": "Prévoir une redondance matérielle des unités de stockage par une technologie RAID ou équivalente.",
            "importance": 0,
            "uuid": "6332515b-9304-4904-8780-1b95e27d9235"
        },
        {
            "code": "Matériels_05",
            "description": "Vérifier que le dimensionnement des capacités de stockage et de traitement, ainsi que les conditions d'utilisation, sont appropriés à l'usage prévu des matériels, notamment en termes de place, d'humidité et de température.",
            "importance": 0,
            "uuid": "69f6611f-cab5-4478-bc92-1216bc9eb1f4"
        },
        {
            "code": "Matériels_06",
            "description": "Vérifier que l'alimentation des matériels les plus critiques est protégée contre les variations de tension et qu'elle est secourue, ou qu'elle permet au moins de les arrêter normalement.",
            "importance": 0,
            "uuid": "4d31b35d-b318-4d1a-bdc0-343cf6c08ffd"
        },
        {
            "code": "Matériels_07",
            "description": "Limiter l'accès aux matériels sensibles et/ou qui ont une grande valeur marchande.",
            "importance": 0,
            "uuid": "e5d8e91b-5729-477a-8343-0cc2b87dccc0"
        },
        {
            "code": "Matériels_08",
            "description": "Limiter les possibilités de modification des matériels.",
            "importance": 0,
            "uuid": "9522e881-b20f-4a0e-880f-1184af84d900"
        },
        {
            "code": "Matériels_09",
            "description": "[postes de travail] Récupérer les données, à l'exception des données signalées comme étant privées ou personnelles, présentes sur un poste préalablement à sa réaffectation à une autre personne.",
            "importance": 0,
            "uuid": "91d00285-5ac9-4bd2-9324-59c5c83dbfcc"
        },
        {
            "code": "Matériels_10",
            "description": "[postes nomades] Limiter le stockage de données sur les postes nomades au strict nécessaire, et éventuellement l'interdire lors des déplacements à l'étranger.",
            "importance": 0,
            "uuid": "025b80de-389e-409c-9a0a-bdc77a422839"
        },
        {
            "code": "Matériels_11",
            "description": "[postes nomades] Verrouiller l'appareil au bout de quelques minutes d'inactivité.",
            "importance": 0,
            "uuid": "8255e58d-d2e6-4fbc-929d-ee601cd26204"
        },
        {
            "code": "Matériels_12",
            "description": "[supports amovibles] Limiter l'usage des supports amovibles à ceux fournis par le service en charge de l'informatique.",
            "importance": 0,
            "uuid": "40973d0f-8960-427b-8495-7efe7d6fd15c"
        },
        {
            "code": "Matériels_13",
            "description": "[supports amovibles] Interdire l'utilisation de clés USB à connexion sans fil (ex : Bluetooth).",
            "importance": 0,
            "uuid": "7e5d3505-fb1a-44b0-a6f8-9ed07570c236"
        },
        {
            "code": "Matériels_14",
            "description": "[supports amovibles] Interdire la connexion de clés USB sur des matériels non sécurisés (antivirus, pare-feu, etc.).",
            "importance": 0,
            "uuid": "ff1d4a51-8e8b-4639-9ee6-cd34d65e49e9"
        },
        {
            "code": "Matériels_15",
            "description": "[supports amovibles] Limiter l'utilisation des clés USB aux activités professionnelles.",
            "importance": 0,
            "uuid": "bc0a1306-882e-44d0-95a1-7f41dba8658f"
        },
        {
            "code": "Matériels_16",
            "description": "[supports amovibles] Désactiver la fonctionnalité d'exécution automatique sur tous les postes (stratégie de groupe).",
            "importance": 0,
            "uuid": "a3f970b2-9752-4763-a82d-02c22da11eb8"
        },
        {
            "code": "Matériels_17",
            "description": "[supports amovibles] Chiffrer les données stockées sur un support amovible.",
            "importance": 0,
            "uuid": "3c899fb0-9384-4b0c-a91c-1db80535fdd7"
        },
        {
            "code": "Matériels_18",
            "description": "[supports amovibles] Restituer les supports amovibles défectueux ou plus utiles au service en charge de l'informatique.",
            "importance": 0,
            "uuid": "5c6f4802-3911-47ab-9d8b-fd482efb54d0"
        },
        {
            "code": "Matériels_19",
            "description": "[supports amovibles] Détruire de manière sécurisée les supports de données qui sont inutiles.",
            "importance": 0,
            "uuid": "b8dba354-dec6-4364-9e35-265190329f1c"
        },
        {
            "code": "Matériels_20",
            "description": "[imprimantes et copieurs multifonctions] Changer les mots de passe \"constructeur\" par défaut.",
            "importance": 0,
            "uuid": "cefdb279-897d-4ed8-976c-9ba08750c457"
        },
        {
            "code": "Matériels_21",
            "description": "[imprimantes et copieurs multifonctions] Désactiver les interfaces réseau inutiles.",
            "importance": 0,
            "uuid": "1af86688-591f-46bd-b08c-0198e36b3046"
        },
        {
            "code": "Matériels_22",
            "description": "[imprimantes et copieurs multifonctions] Désactiver ou supprimer les services inutiles.",
            "importance": 0,
            "uuid": "bfa1d4aa-bdc9-4036-86c7-b876e25127b1"
        },
        {
            "code": "Matériels_23",
            "description": "[imprimantes et copieurs multifonctions] Chiffrer les données sur le disque dur lorsque cette fonction est disponible.",
            "importance": 0,
            "uuid": "f4f8e468-bac0-40cd-9ed8-0ed5c976c523"
        },
        {
            "code": "Matériels_24",
            "description": "[imprimantes et copieurs multifonctions] Limiter l'envoi de documents numérisés aux adresses de messagerie internes et dans certains cas limiter l'envoi de documents numérisés à une seule adresse de messagerie.",
            "importance": 0,
            "uuid": "cbbadaca-2185-4c69-ab27-02d97d034043"
        },
        {
            "code": "Minimisation des données_01",
            "description": "Justifier de la collecte de chaque donnée.",
            "importance": 0,
            "uuid": "edae0fbc-e415-4b7d-8208-b79130cfdf3b"
        },
        {
            "code": "Minimisation des données_02",
            "description": "Bien faire la distinction entre les données anonymes et pseudonymes.",
            "importance": 0,
            "uuid": "f1c5c683-7025-4ba8-a3b0-4b9c7a4faf8e"
        },
        {
            "code": "Minimisation des données_03",
            "description": "Éviter les champs de saisie en texte libre (ex : zones « commentaires »), en raison du risque que les utilisateurs y consignent des informations ne respectant pas les principes de minimisation. On préfèrera donc des champs de saisie à base de listes déroulantes. Si on ne peut éviter la saisie de texte libre, une sensibilisation des utilisateurs devra être faite quant à l'usage de ces champs, vis-à-vis des conditions générales du service et vis-à-vis de la loi (pas de propos injurieux, pas de données sensibles non déclarées, etc.).",
            "importance": 0,
            "uuid": "b8072981-619d-46e0-8f9b-ad7e84549a6a"
        },
        {
            "code": "Minimisation des données_04",
            "description": "Vérifier que les données sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, et ne pas les collecter dans le cas contraire.",
            "importance": 0,
            "uuid": "2a529e83-d2ca-4147-82cf-f44f213ad29f"
        },
        {
            "code": "Minimisation des données_05",
            "description": "Vérifier que les données ne font pas apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale, ainsi que les données relatives à la santé ou à la vie sexuelle, et ne pas les collecter dans le cas contraire à moins d'être dans des circonstances d'exception (consentement, intérêt public conformément à l'article 9 du RGPD).",
            "importance": 0,
            "uuid": "8478c80b-1729-40d0-a4a7-315af3003c52"
        },
        {
            "code": "Minimisation des données_06",
            "description": "Vérifier que les données ne sont pas relatives à des infractions, condamnations ou mesures de sûreté, et ne pas les collecter dans le cas contraire, à moins d'être dans des circonstances d'exception (juridictions, auxiliaires de justice conformément à l'article 10 du RGPD).",
            "importance": 0,
            "uuid": "be361b63-c23d-436e-bcca-b3e57b87fcd0"
        },
        {
            "code": "Minimisation des données_07",
            "description": "Empêcher de collecter davantage de données.",
            "importance": 0,
            "uuid": "75fd0afd-a5f6-49f2-bc0f-808d75e98c27"
        },
        {
            "code": "Minimisation des données_08",
            "description": "Filtrer et retirer les données inutiles.",
            "importance": 0,
            "uuid": "7f58309d-502e-43ba-a154-17b97fbe53f0"
        },
        {
            "code": "Minimisation des données_09",
            "description": "Réduire la sensibilité par transformation.",
            "importance": 0,
            "uuid": "706b68ba-4615-4b9d-bfef-e455d2027b57"
        },
        {
            "code": "Minimisation des données_10",
            "description": "Réduire le caractère identifiant des données.",
            "importance": 0,
            "uuid": "6e61bab7-4731-4a76-ad49-87021019a20b"
        },
        {
            "code": "Minimisation des données_11",
            "description": "Réduire l'accumulation de données.",
            "importance": 0,
            "uuid": "ee0f9383-d0e4-42db-88fa-108d8f457139"
        },
        {
            "code": "Minimisation des données_12",
            "description": "Restreindre l'accès aux données.",
            "importance": 0,
            "uuid": "76edaf87-77ad-4739-98bd-4dc95f2d22d1"
        },
        {
            "code": "Minimisation des données_13",
            "description": "Limiter l'envoi des documents électroniques contenant des données aux personnes ayant le besoin d'en disposer dans le cadre de leur activité.",
            "importance": 0,
            "uuid": "64eafbb1-6b71-42b1-aeab-73bf2889f2d7"
        },
        {
            "code": "Minimisation des données_14",
            "description": "Effacer de manière sécurisée les données qui ne sont plus utiles ou qu'une personne demande de supprimer, sur le système en opération et sur les sauvegardes le cas échéant.",
            "importance": 0,
            "uuid": "5d5c5f28-e2b3-4cd2-a608-e5e28b46673b"
        },
        {
            "code": "Organisation_01",
            "description": "Faire désigner par le responsable des traitements une personne en charge de l'assister dans la mise en application du règlement général sur la protection des données (RGPD) et lui accorder les moyens nécessaires à l'exercice de sa mission.",
            "importance": 0,
            "uuid": "2801471c-383e-48dd-9d9a-ace88fb25b1b"
        },
        {
            "code": "Organisation_02",
            "description": "Définir les rôles, responsabilités et interactions entre toutes les parties prenantes dans le domaine de la protection des données personnelles.",
            "importance": 0,
            "uuid": "285712b1-b3a5-4d2a-95ef-762bec7c84c0"
        },
        {
            "code": "Organisation_03",
            "description": "Créer un comité de suivi, composé du responsable des traitements, de la personne en charge de l'assister dans la mise en application du RGPD et des parties intéressées, et se réunissant de manière régulière (au moins une fois par an) pour fixer des objectifs et faire un point sur l'ensemble des traitements de l'organisme.",
            "importance": 0,
            "uuid": "8bbdcb67-c783-4d15-9a20-dbc3a2f87aa6"
        },
        {
            "code": "Politique_01",
            "description": "Formaliser les éléments importants relatifs au domaine de la vie privée au sein d'une base documentaire qui constitue la politique de protection des données personnelles, dans une forme adaptée aux différents contenus (risques, grands principes à respecter, objectifs à atteindre, règles à appliquer, etc.) et aux différentes cibles de communication (usagers, service en charge de l'informatique, décideurs, etc.).",
            "importance": 0,
            "uuid": "56085501-a07b-43c7-aafc-f0251b13c4c5"
        },
        {
            "code": "Politique_02",
            "description": "Faire connaître la politique de protection des données personnelles aux personnes qui doivent l'appliquer.",
            "importance": 0,
            "uuid": "8a988847-bebf-460b-bf9d-5b8f3693af89"
        },
        {
            "code": "Politique_03",
            "description": "Permettre aux personnes qui doivent appliquer la politique de protection des données personnelles de demander formellement une dérogation en cas de difficulté de mise en oeuvre , étudier chaque demande de dérogation en termes d'impact sur les risques, et le cas échéant, faire valider les dérogations acceptables par le responsable de traitement et faire évoluer la politique en conséquence.",
            "importance": 0,
            "uuid": "94ceebf9-e136-44dd-b537-b4ae81a51b81"
        },
        {
            "code": "Politique_04",
            "description": "Établir un plan d'action pluriannuel et suivre la mise en oeuvre la politique de protection des données personnelles.",
            "importance": 0,
            "uuid": "1fa223a3-2596-4e4d-8599-afd399f1a162"
        },
        {
            "code": "Politique_05",
            "description": "Prévoir les dérogations aux règles de la politique de protection des données personnelles.",
            "importance": 0,
            "uuid": "119d2bda-cd01-4e82-bf1d-bb78ce8aff82"
        },
        {
            "code": "Politique_06",
            "description": "Prévoir de prendre en compte les difficultés rencontrées dans l'application de la politique de protection des données personnelles.",
            "importance": 0,
            "uuid": "26076a3f-0cbb-4268-a6f0-6bbc3f64c5d6"
        },
        {
            "code": "Politique_07",
            "description": "Vérifier la conformité aux règles de la politique de protection des données personnelles et la mise en oeuvre du plan d'action de manière régulière.",
            "importance": 0,
            "uuid": "e5e11b5a-ceb6-4546-892c-79e78dfd5a58"
        },
        {
            "code": "Politique_08",
            "description": "Réviser la politique de protection des données personnelles de manière régulière.",
            "importance": 0,
            "uuid": "f996d911-1c68-43fe-95f3-b48a59fa320b"
        },
        {
            "code": "Postes de travail_01",
            "description": "Assurer la mise à disposition et le maintien en conditions opérationnelles et de sécurité des postes de travail des utilisateurs par le service en charge de l'informatique.",
            "importance": 0,
            "uuid": "2909e89a-fb31-465b-9b4d-5b986bc60aec"
        },
        {
            "code": "Postes de travail_02",
            "description": "Protéger les postes peu volumineux, donc susceptibles d'être facilement emportés, et notamment les ordinateurs portables, à l'aide d'un câble physique de sécurité, dès que l'utilisateur ne se trouve pas à proximité et que le local n'est pas sécurisé physiquement.",
            "importance": 0,
            "uuid": "adafec69-16e7-4255-bc00-bb763979be75"
        },
        {
            "code": "Postes de travail_03",
            "description": "Récupérer les données, à l'exception des données signalées comme privées ou personnelles, présentes sur un poste préalablement à sa réaffectation à une autre personne.",
            "importance": 0,
            "uuid": "151e0fde-8c9a-4dcf-a82f-e5731c99b09c"
        },
        {
            "code": "Postes de travail_04",
            "description": "Effacer les données présentes sur un poste préalablement à sa réaffectation à une autre personne ou pour les postes partagés.",
            "importance": 0,
            "uuid": "f15f0c88-08ac-46ec-a515-7efdda82f227"
        },
        {
            "code": "Postes de travail_05",
            "description": "Supprimer les données temporaires à chaque reconnexion des postes partagés.",
            "importance": 0,
            "uuid": "258a18a7-39b2-4c38-aec5-94397c4270c4"
        },
        {
            "code": "Postes de travail_06",
            "description": "En cas de compromission d'un poste, rechercher toute trace d'intrusion dans le système afin de détecter si l'attaquant a compromis d'autres éléments.",
            "importance": 0,
            "uuid": "e1f84a8a-12b5-46a2-a740-4859627256f9"
        },
        {
            "code": "Postes de travail_07",
            "description": "Tenir les systèmes et applications à jour (versions, correctifs de sécurité, etc.) ou, lorsque cela est impossible (ex : application uniquement disponible sur un système qui n'est plus maintenu par l'éditeur), isoler la machine et porter une attention particulière aux journaux.",
            "importance": 0,
            "uuid": "54947799-560e-4195-89d7-51e86787b27c"
        },
        {
            "code": "Postes de travail_08",
            "description": "Documenter les configurations et les mettre à jour à chaque changement notable.",
            "importance": 0,
            "uuid": "cb57f1bb-2fdb-468e-97fb-ef1da1bb7169"
        },
        {
            "code": "Postes de travail_09",
            "description": "Limiter les possibilités de détournements d'usages.",
            "importance": 0,
            "uuid": "6ed3b030-a0a1-4ce5-933a-03a56dd79b12"
        },
        {
            "code": "Postes de travail_10",
            "description": "Protéger les accès logiques aux postes de travail.",
            "importance": 0,
            "uuid": "3acfe072-0563-41a7-b418-6a48008d95fe"
        },
        {
            "code": "Postes de travail_11",
            "description": "Activer les mesures de protection offertes par le système et les applications.",
            "importance": 0,
            "uuid": "5cc20ef6-edc5-4eac-927d-dcdb56fe83bb"
        },
        {
            "code": "Postes de travail_12",
            "description": "Interdire le partage de répertoires ou de données localement sur les postes de travail.",
            "importance": 0,
            "uuid": "b2831da7-b6b1-4c14-b23d-a3caf7f543f3"
        },
        {
            "code": "Postes de travail_13",
            "description": "Stocker les données des utilisateurs sur un espace réseau sauvegardé et non sur les postes de travail.",
            "importance": 0,
            "uuid": "18fe7f33-228b-4e46-b0e4-9fdc31f21c95"
        },
        {
            "code": "Postes de travail_14",
            "description": "Dans le cas où des données doivent être stockées en local sur un poste, fournir des moyens de synchronisation ou de sauvegarde aux utilisateurs et les informer sur leur utilisation.",
            "importance": 0,
            "uuid": "c2bbf9e6-0396-46c6-9a69-e537033024bc"
        },
        {
            "code": "Postes de travail_15",
            "description": "Sécuriser la configuration du navigateur Internet.",
            "importance": 0,
            "uuid": "ba8a5792-fde0-4479-b552-37496c5e1e3f"
        },
        {
            "code": "Postes de travail_16",
            "description": "Déployer le navigateur dont la configuration a été sécurisée sur tous postes de travail nécessitant un accès à Internet ou Intranet.",
            "importance": 0,
            "uuid": "3252b36f-e80e-4bf1-bba0-3770970abcdf"
        },
        {
            "code": "Postes de travail_17",
            "description": "Limiter le recours à des modules d'extension (plugins), supprimer ceux qui ne sont pas utilisés et tenir à jour ceux qui sont installés.",
            "importance": 0,
            "uuid": "830cef3a-82bc-4bb2-8996-c9cc6970325f"
        },
        {
            "code": "Postes de travail_18",
            "description": "Interdire l'exécution des applications téléchargées ne provenant pas de sources sûres.",
            "importance": 0,
            "uuid": "3f855614-4fe1-44a2-a181-39da61d62bb7"
        },
        {
            "code": "Postes de travail_19",
            "description": "Rechercher les vulnérabilités exploitables.",
            "importance": 0,
            "uuid": "c9daaf50-fd5a-428b-bbf6-fa64c7bf4d63"
        },
        {
            "code": "Postes de travail_20",
            "description": "Contrôler l'intégrité du système à l'aide de contrôleurs d'intégrité (qui vérifient l'intégrité de fichiers choisis).",
            "importance": 0,
            "uuid": "4516765e-5d49-4e55-9963-bda208f3e04e"
        },
        {
            "code": "Postes de travail_21",
            "description": "S'assurer que la taille maximale des journaux d'évènements est suffisante, et notamment que les évènements les plus anciens ne sont pas supprimés automatiquement si la taille maximale est atteinte.",
            "importance": 0,
            "uuid": "09960a7b-3352-4f9a-aeaf-6aa6661bff68"
        },
        {
            "code": "Postes de travail_22",
            "description": "Journaliser les évènements relatifs aux applications, à la sécurité et au système.",
            "importance": 0,
            "uuid": "1ddfa74b-1c92-482f-8421-24a0d144fb68"
        },
        {
            "code": "Postes de travail_23",
            "description": "Exporter les journaux à l'aide des fonctionnalités de gestion du domaine ou via un client syslog.",
            "importance": 0,
            "uuid": "040dad6c-dfb5-429c-9404-86ad4d35dc0c"
        },
        {
            "code": "Postes de travail_24",
            "description": "Analyser principalement les heures de connexions et déconnexions, le type de protocole utilisé pour se connecter et le type d'utilisateur qui y a recours, l'adresse IP d'origine de la connexion, les échecs successifs de connexions, les arrêts inopinés d'applications ou de tâches.",
            "importance": 0,
            "uuid": "b6d0b02f-b02d-45ae-af0e-8dbcbf55a299"
        },
        {
            "code": "Postes de travail_25",
            "description": "[postes nomades] Chiffrer les données stockées sur les postes nomades.",
            "importance": 0,
            "uuid": "c8ec2ccd-aa47-446a-8f37-0dee07f847ff"
        },
        {
            "code": "Postes de travail_26",
            "description": "[postes nomades] Limiter le stockage de données sur les postes nomades au strict nécessaire, et éventuellement l'interdire lors de déplacement à l'étranger.",
            "importance": 0,
            "uuid": "396fa6c3-fc9e-4775-acdb-0305b0c74b07"
        },
        {
            "code": "Postes de travail_27",
            "description": "[postes nomades] Assurer la disponibilité des données stockées sur les postes nomades.",
            "importance": 0,
            "uuid": "28f4ae7b-9118-4ec3-956c-4eab0d817e3a"
        },
        {
            "code": "Postes de travail_28",
            "description": "[postes nomades] Purger les données collectées sur le poste nomade sitôt qu'elles ont été introduites dans le système d'information de l'organisme.",
            "importance": 0,
            "uuid": "0921ec99-6747-49c3-917d-a22107d02bde"
        },
        {
            "code": "Postes de travail_29",
            "description": "[postes nomades] Positionner un filtre de confidentialité sur les écrans des postes nomades dès qu'ils sont utilisés en dehors de l'organisme.",
            "importance": 0,
            "uuid": "7669215a-04d4-41a3-b3e3-7546ec06c9f5"
        },
        {
            "code": "Postes de travail_30",
            "description": "[téléphones mobiles] Configurer les téléphones mobiles avant d'être livrés aux utilisateurs.",
            "importance": 0,
            "uuid": "e5744a1e-219e-4d1c-bc38-52a053a4cbb4"
        },
        {
            "code": "Postes de travail_31",
            "description": "[téléphones mobiles] Informer les utilisateurs, par exemple sous la forme d'une note accompagnant la livraison, sur l'usage du téléphone, des applications (ex : business mail, Exchange, etc.) et des services fournis, ainsi que sur les règles de sécurité à respecter.",
            "importance": 0,
            "uuid": "44a79e4f-89cb-4d71-b12b-a10397e6e9ce"
        },
        {
            "code": "Postes de travail_32",
            "description": "[serveur] Isoler le serveur du reste du réseau dans une DMZ spécifique ou un VLAN, utiliser un anti-virus à jour, un anti-spyware et un anti-spam, installer immédiatement les mises à jour de sécurité du système d'exploitation, authentifier les appareils par certificat électronique (si possible).",
            "importance": 0,
            "uuid": "b7f28967-ed0e-44f8-b473-fad807fc46ae"
        },
        {
            "code": "Postes de travail_33",
            "description": "[téléphones mobiles] Sécuriser la fin de vie de l'appareil.",
            "importance": 0,
            "uuid": "b5545f2a-d6bb-4d82-924a-b1aea285ab71"
        },
        {
            "code": "Qualité des données_01",
            "description": "Vérifier régulièrement l'exactitude des données personnelles de l'utilisateur.",
            "importance": 0,
            "uuid": "560cfa0d-0266-44b6-ae2f-3f3190db2974"
        },
        {
            "code": "Qualité des données_02",
            "description": "Inviter l'utilisateur à contrôler et, si nécessaire, mettre à jour ses données régulièrement.",
            "importance": 0,
            "uuid": "fd6ff76b-5f45-496b-91f4-8fda6180dbab"
        },
        {
            "code": "Qualité des données_03",
            "description": "Assurer la traçabilité de toute modification des données.",
            "importance": 0,
            "uuid": "4b2d9a54-fd04-44c7-8684-7f6ad571eb0c"
        },
        {
            "code": "Relations avec les tiers_01",
            "description": "Identifier tous les tiers qui ont ou pourraient avoir un accès légitime aux données.",
            "importance": 0,
            "uuid": "5842586f-9d95-4856-806b-e7a0653aa4d8"
        },
        {
            "code": "Relations avec les tiers_02",
            "description": "Déterminer leur rôle vis-à-vis du traitement (administrateur informatique, sous-traitant, destinataire, personnes chargées de traiter les données, tiers autorisé) en fonction des actions qu'ils vont réaliser.",
            "importance": 0,
            "uuid": "30bc4dd1-4f85-4d46-a3d7-07c22fa33994"
        },
        {
            "code": "Relations avec les tiers_03",
            "description": "Déterminer les responsabilités respectives en fonction des risques liés à ces données.",
            "importance": 0,
            "uuid": "1d7881b1-1bb4-4c1a-b81e-1c9e145ffeba"
        },
        {
            "code": "Relations avec les tiers_04",
            "description": "Déterminer la forme appropriée pour fixer les droits et obligations selon la forme juridique des tiers et leur localisation géographique.",
            "importance": 0,
            "uuid": "840fdc25-8160-47a4-84ef-1655446d90fa"
        },
        {
            "code": "Relations avec les tiers_05",
            "description": "Formaliser les règles que les personnes doivent respecter durant tout le cycle de vie de la relation liée au traitement ou aux données, selon la catégorie de personnes et les actions qu'elles vont réaliser.",
            "importance": 0,
            "uuid": "95e59cec-f9f5-4bad-8dc0-d64c9fdec0bf"
        },
        {
            "code": "Relations avec les tiers_06",
            "description": "[prestataires en interne] Appliquer aux prestataires les mêmes mesures que pour les salariés de l'organisme : formation aux enjeux de la protection des données personnelles, obligation de respecter les règles d'usage des ressources informatiques de l'organisme annexées au règlement intérieur.",
            "importance": 0,
            "uuid": "b3c20465-7306-4a61-8259-b2dffdd60e8c"
        },
        {
            "code": "Relations avec les tiers_07",
            "description": "[prestataires en interne] Fournir aux prestataires un poste de travail interne à l'organisme ou s'assurer que l'utilisation du poste de travail fourni par leur employeur est compatible avec les objectifs de sécurité de l'organisme.",
            "importance": 0,
            "uuid": "b5994020-e8ca-47be-8989-3d9eebe2da75"
        },
        {
            "code": "Relations avec les tiers_08",
            "description": "[prestataires en interne] S'assurer que les prestataires sont bien engagés auprès de leur employeur par une clause de confidentialité applicable aux organismes clients de leur employeur.",
            "importance": 0,
            "uuid": "edfde4eb-2ff2-42c9-b8c5-655da7bc8a7b"
        },
        {
            "code": "Relations avec les tiers_09",
            "description": "[prestataires en interne] Gérer les habilitations des prestataires de façon spécifique en leur attribuant des habilitations limitées dans le temps prenant fin automatiquement à la date prévisionnelle de la fin de leur mission.",
            "importance": 0,
            "uuid": "293c76d6-319d-4dc7-b2a2-8581e19d8f6b"
        },
        {
            "code": "Relations avec les tiers_10",
            "description": "[tiers destinataires] Encadrer contractuellement la transmission des données aux tiers destinataires.",
            "importance": 0,
            "uuid": "a45771d7-4498-450d-a0cf-ff8eddf4bee2"
        },
        {
            "code": "Relations avec les tiers_11",
            "description": "[tiers destinataires] Imposer au tiers de publier une politique de protection des données personnelles couvrant les traitements alimentés par les données transmises et précisant les objectifs de sécurité issus de la politique de sécurité des systèmes d'information.",
            "importance": 0,
            "uuid": "bbf4f754-0da7-40cb-bae1-9adec9a0b23b"
        },
        {
            "code": "Relations avec les tiers_12",
            "description": "[tiers destinataires] Si la transmission de données est faite via Internet toujours, chiffrer les flux de données.",
            "importance": 0,
            "uuid": "5acc6bfc-cac5-45eb-842c-204ddacc1284"
        },
        {
            "code": "Relations avec les tiers_13",
            "description": "[tiers destinataires] Systématiquement, informer le tiers lorsque des personnes exercent leur droit de rectification.",
            "importance": 0,
            "uuid": "2bbae62c-5f4d-4459-b16b-c169276a5e6c"
        },
        {
            "code": "Relations avec les tiers_14",
            "description": "[tiers autorisés] Ne répondre qu'aux demandes transmises de façon formelle (courrier postal, fax) et répondre via le même canal de communication. Ne pas prendre en compte les demandes adressées par mail ni ne répondre par ce canal de communication.",
            "importance": 0,
            "uuid": "658f383e-2a21-493f-9a4a-95252ada7850"
        },
        {
            "code": "Relations avec les tiers_15",
            "description": "[tiers autorisés] Vérifier la base légale de chaque demande de communication.",
            "importance": 0,
            "uuid": "5e7263eb-cc9b-4ec4-92f5-4d1feed5430e"
        },
        {
            "code": "Relations avec les tiers_16",
            "description": "[tiers autorisés] Authentifier les émetteurs et ne répondre qu'à eux.",
            "importance": 0,
            "uuid": "34e66e2b-f9df-4680-a833-39b436fa2a61"
        },
        {
            "code": "Relations avec les tiers_17",
            "description": "[tiers autorisés] Répondre de façon stricte à la demande en ne fournissant que les données mentionnées dans la demande.",
            "importance": 0,
            "uuid": "d7c17d95-b28c-4328-a1af-0336f7bcb960"
        },
        {
            "code": "Réseaux_01",
            "description": "Maintenir à jour une cartographie détaillée du réseau.",
            "importance": 0,
            "uuid": "b38a5776-9cce-4708-a383-d0735b4acb92"
        },
        {
            "code": "Réseaux_02",
            "description": "Recenser tous les accès Internet, les intégrer dans la cartographie du réseau et s'assurer que les mesures prévues sont bien appliquées à chacun d'entre eux.",
            "importance": 0,
            "uuid": "64d5965c-eace-4754-abe4-d17dc42f5e82"
        },
        {
            "code": "Réseaux_03",
            "description": "Assurer la disponibilité des canaux informatiques.",
            "importance": 0,
            "uuid": "5d24a637-56b0-4d6a-804f-cbe63961493d"
        },
        {
            "code": "Réseaux_04",
            "description": "Segmenter le réseau en sous-réseaux logiques étanches selon les services censés y être déployés.",
            "importance": 0,
            "uuid": "fc83e811-4d47-4d6b-b443-7ccc476a1b5c"
        },
        {
            "code": "Réseaux_05",
            "description": "Interdire toute communication directe entre des postes internes et l'extérieur.",
            "importance": 0,
            "uuid": "c81ee7e7-1598-4544-9870-ba47ed1c293f"
        },
        {
            "code": "Réseaux_06",
            "description": "N'utiliser que les flux explicitement autorisés (limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées) à l'aide d'un pare-feu.",
            "importance": 0,
            "uuid": "89b1ced3-1950-4629-8479-06777206146d"
        },
        {
            "code": "Réseaux_07",
            "description": "Surveiller l'activité réseau après en avoir informé les personnes concernées.",
            "importance": 0,
            "uuid": "52fbddde-7b73-48e4-868d-3d57973d09de"
        },
        {
            "code": "Réseaux_08",
            "description": "Prévoir un plan de réponse en cas d'intrusion majeure contenant les mesures organisationnelles et techniques pour délimiter et circonscrire la compromission.",
            "importance": 0,
            "uuid": "f88ee60a-cf84-44ee-9f99-eca0c8dfade1"
        },
        {
            "code": "Réseaux_09",
            "description": "Identifier les matériels de manière automatique comme moyen d'authentification des connexions à partir de lieux et matériels spécifiques.",
            "importance": 0,
            "uuid": "947cf84f-4f95-4ae8-a493-0b23a80de7f4"
        },
        {
            "code": "Réseaux_10",
            "description": "Sécuriser les flux d'administration et restreindre, voire interdire, l'accès physique et logique aux ports de diagnostic et de configuration à distance.",
            "importance": 0,
            "uuid": "a34a3b2b-2317-43f0-9061-eabdca6eaa2b"
        },
        {
            "code": "Réseaux_11",
            "description": "Interdire le raccordement d'équipements informatiques non maîtrisés.",
            "importance": 0,
            "uuid": "64cc6741-9a90-4a52-afe4-dd1792c9a888"
        },
        {
            "code": "Réseaux_12",
            "description": "Transmettre les secrets garantissant la confidentialité de données (clé de déchiffrement, mot de passe, etc.) dans une transmission distincte, si possible via un canal de nature différente de celui ayant servi à la transmission des données.",
            "importance": 0,
            "uuid": "f87086dc-dd46-465a-87ec-12ebfb3067bb"
        },
        {
            "code": "Réseaux_13",
            "description": "[équipements actifs] Utiliser le protocole SSH ou une connexion directe à l'équipement pour la connexion aux équipements actifs du réseau (pare-feu, routeurs, commutateurs) et proscrire l'utilisation du protocole Telnet sauf en cas de connexion directe.",
            "importance": 0,
            "uuid": "7a73df5f-5d1b-46c7-9d20-d0d33884f6f5"
        },
        {
            "code": "Réseaux_14",
            "description": "[télémaintenance] Limiter la prise de main à distance d'une ressource informatique locale aux agents du service en charge de l'informatique, sur les ressources informatiques de leur périmètre.",
            "importance": 0,
            "uuid": "800ae6b2-04a7-4b39-a2ea-c08826d7dadf"
        },
        {
            "code": "Réseaux_15",
            "description": "[télémaintenance] Identifier les utilisateurs de l'outil de prise de main à distance de manière unique.",
            "importance": 0,
            "uuid": "ecc30a00-d461-4b18-a80b-9e812b2e1999"
        },
        {
            "code": "Réseaux_16",
            "description": "[télémaintenance] Authentifier les utilisateurs de l'outil de prise de main à distance au moins par un mot de passe robuste et si possible par certificat électronique.",
            "importance": 0,
            "uuid": "5d0c0510-e983-4c9b-839f-0e9e6abae3bb"
        },
        {
            "code": "Réseaux_17",
            "description": "[télémaintenance]  Journaliser les actions des utilisateurs de l'outil de prise en main à distance.",
            "importance": 0,
            "uuid": "d9e70d17-8200-40ac-8617-f8d286699206"
        },
        {
            "code": "Réseaux_18",
            "description": "[télémaintenance] Sécuriser le flux d'authentification sécurisé.",
            "importance": 0,
            "uuid": "3d0ff9ec-8e07-4aeb-bdc0-70a0999799b3"
        },
        {
            "code": "Réseaux_19",
            "description": "[télémaintenance] La prise de main à distance doit être soumise à un accord préalable de l'utilisateur.",
            "importance": 0,
            "uuid": "d6b20d02-e96c-4c72-8a57-9d819af7fa9c"
        },
        {
            "code": "Réseaux_20",
            "description": "[télémaintenance] Interdire la modification du paramétrage de sécurité de l'outil et la visualisation des mots de passe ou secrets utilisés.",
            "importance": 0,
            "uuid": "0d809dac-07f2-4a2c-ac44-8f8d89d39318"
        },
        {
            "code": "Réseaux_21",
            "description": "[télémaintenance] Empêcher la récupération des secrets utilisés pour établir la connexion à partir d'un poste de travail.",
            "importance": 0,
            "uuid": "a1b10cdf-f7c2-4c31-8487-0476ffeab70e"
        },
        {
            "code": "Réseaux_22",
            "description": "[télémaintenance] Chiffrer l'ensemble des flux échangés.",
            "importance": 0,
            "uuid": "170febf2-0cb4-43c0-9fc1-f071ee3af5ce"
        },
        {
            "code": "Réseaux_23",
            "description": "[télémaintenance] L'utilisateur doit être informé qu'une prise de main à distance est en cours sur son poste de travail (par exemple à l'aide d'une icône).",
            "importance": 0,
            "uuid": "6549e197-1a10-4145-a56c-727a1396514e"
        },
        {
            "code": "Réseaux_24",
            "description": "[postes nomades] Mettre en place une solution d'authentification forte des utilisateurs accédant à distance au système d'information interne (quand cela est possible).",
            "importance": 0,
            "uuid": "fd742eed-ef22-46df-844a-6a7ba475782a"
        },
        {
            "code": "Réseaux_25",
            "description": "[postes nomades] Chiffrer les communications entre le poste nomade et le système d'information interne.",
            "importance": 0,
            "uuid": "78e54808-1768-45fb-bd6a-0efd5d16dc3d"
        },
        {
            "code": "Réseaux_26",
            "description": "[postes nomades] Installer un pare-feu local pour sécuriser les échanges réseau entrant et sortant sur le poste de travail en situation de nomadisme, qui doit être activé dès que le poste nomade sort de l'organisme.",
            "importance": 0,
            "uuid": "befbf1d0-810d-42d7-92c3-8facadf09773"
        },
        {
            "code": "Réseaux_27",
            "description": "[interfaces sans fil] Interdire les communications non sécurisées.",
            "importance": 0,
            "uuid": "dc95d51c-31c7-4fdb-82d2-113afa255783"
        },
        {
            "code": "Réseaux_28",
            "description": "[interfaces sans fil] Interdire la connexion simultanée à un réseau via une interface sans fil et par l'interface Ethernet.",
            "importance": 0,
            "uuid": "d4f9a1de-088d-4be6-b609-04b0aabbb576"
        },
        {
            "code": "Réseaux_29",
            "description": "[interfaces sans fil] Désactiver les interfaces de connexion sans fil (Wifi, Bluetooth, infrarouge, 4G, etc.) dès lors qu'elles ne sont pas utilisées, de manière matérielle ou logicielle.",
            "importance": 0,
            "uuid": "b613554b-0647-428f-be99-0f5075e5ff3f"
        },
        {
            "code": "Réseaux_30",
            "description": "[interfaces sans fil] Maîtriser les réseaux sans fil.",
            "importance": 0,
            "uuid": "a00b62ce-cd2a-4e0e-8540-88c5ba4ef0f1"
        },
        {
            "code": "Réseaux_31",
            "description": "[Wifi] Utiliser le protocole WPA ou WPA2 avec un mode de chiffrement AES/CCMP ou le mode « Enterprise » des protocoles WPA et WPA2 (utilisant un serveur Radius, ainsi que les sous-protocoles EAP-TLS ou PEAP).",
            "importance": 0,
            "uuid": "57904ce6-566b-4fad-8292-713119cb8128"
        },
        {
            "code": "Réseaux_32",
            "description": "[Wifi] Interdire les réseaux ad hoc.",
            "importance": 0,
            "uuid": "f4406404-5a76-48e0-beaf-8b18cbb9ca4f"
        },
        {
            "code": "Réseaux_33",
            "description": "[Wifi] Utiliser et configurer un pare-feu au point d'entrée/sortie du réseau, afin de cloisonner les équipements connectés en fonction des besoins.",
            "importance": 0,
            "uuid": "c7cb8369-bbdc-4005-8232-05af4496a6bb"
        },
        {
            "code": "Réseaux_34",
            "description": "[Bluetooth] Imposer une authentification mutuelle avec l'appareil distant.",
            "importance": 0,
            "uuid": "fa01bb34-6b29-40fa-83d6-9e22295080b0"
        },
        {
            "code": "Réseaux_35",
            "description": "[Bluetooth] Limiter l'utilisation à l'échange de fichiers avec des matériels maîtrisés par le service en charge de l'informatique.",
            "importance": 0,
            "uuid": "7284cd89-16f2-4052-bd57-1d007618e79c"
        },
        {
            "code": "Réseaux_36",
            "description": "[Bluetooth] Chiffrer les échanges.",
            "importance": 0,
            "uuid": "3258b781-41ae-4d67-9252-880bffbfa106"
        },
        {
            "code": "Réseaux_37",
            "description": "[infrarouge] Réaliser une authentification avant la connexion, l'émission et la réception d'un fichier ou d'une commande.",
            "importance": 0,
            "uuid": "78f1e57c-e085-49c8-ad22-e3d6c5aefb18"
        },
        {
            "code": "Réseaux_38",
            "description": "[téléphonie mobile] Protéger la carte SIM par un code PIN demandé à chaque utilisation.",
            "importance": 0,
            "uuid": "60f1b6fa-30bf-4f83-80f1-3ec466120a88"
        },
        {
            "code": "Réseaux_39",
            "description": "[Internet] Utiliser le protocole TLS (HTTPS) pour assurer l'authentification des serveurs et la confidentialité des communications.",
            "importance": 0,
            "uuid": "d95c1909-3eae-486b-a6ec-ab5d68a7ed74"
        },
        {
            "code": "Réseaux_40",
            "description": "[transfert de fichiers] Utiliser le protocole SFTP ou éventuellement le protocole SCP.",
            "importance": 0,
            "uuid": "e43a6ac7-d957-49a1-852a-744c68c4db11"
        },
        {
            "code": "Réseaux_41",
            "description": "[fax] Chiffrer les fichiers avant tout transfert dans le cas de risques élevés.",
            "importance": 0,
            "uuid": "b521bc9c-4b3f-4400-b03f-6aadcf506164"
        },
        {
            "code": "Réseaux_42",
            "description": "[fax] Positionner le fax dans un local physiquement contrôlé et accessible uniquement au personnel habilité.",
            "importance": 0,
            "uuid": "fd283473-0995-4b6b-832f-2f3e79025cba"
        },
        {
            "code": "Réseaux_43",
            "description": "[fax] Mettre en place un contrôle par code d'accès personnel pour l'impression des messages.",
            "importance": 0,
            "uuid": "a24e9bac-a46d-4b22-af48-57aed0c9d86d"
        },
        {
            "code": "Réseaux_44",
            "description": "[fax] Faire afficher l'identité du fax destinataire lors de l'émission des messages, afin d'être assuré de l'identité du destinataire.",
            "importance": 0,
            "uuid": "6d457057-5311-40dd-9b38-3e2fc5e360e1"
        },
        {
            "code": "Réseaux_45",
            "description": "[fax] Doubler l'envoi par fax d'un envoi des documents originaux au destinataire.",
            "importance": 0,
            "uuid": "b024fea4-cecf-4839-bd8c-d817a7d2a338"
        },
        {
            "code": "Réseaux_46",
            "description": "[fax] Préenregistrer dans le carnet d'adresses des fax (si cette fonctionnalité existe) les destinataires potentiels.",
            "importance": 0,
            "uuid": "b3f15a65-11d9-4c98-b5ee-0c1ef9cbb508"
        },
        {
            "code": "Réseaux_47",
            "description": "[ADSL/Fibre] Recenser les points d'accès locaux à Internet.",
            "importance": 0,
            "uuid": "d2b2a148-c1e2-4998-a3cc-1feae580c188"
        },
        {
            "code": "Réseaux_48",
            "description": "[ADSL/Fibre] Isoler physiquement les points d'accès locaux à Internet du réseau interne.",
            "importance": 0,
            "uuid": "607b68a1-3304-441d-93a4-208a8cebfe84"
        },
        {
            "code": "Réseaux_49",
            "description": "[points d'accès locaux] Ne les utiliser qu'en cas de besoins spécifiques et justifiés (exemple : perte de disponibilité de l'accès au réseau interurbain).",
            "importance": 0,
            "uuid": "b8259109-ec84-429f-afb6-468188291be6"
        },
        {
            "code": "Réseaux_50",
            "description": "[points d'accès locaux] Ne les activer que lors de leur utilisation.",
            "importance": 0,
            "uuid": "e2a0bae7-28dc-4831-a244-a5bffc226cdf"
        },
        {
            "code": "Réseaux_51",
            "description": "[points d'accès locaux] Désactiver leur éventuelle interface sans fil (« wifi »).",
            "importance": 0,
            "uuid": "9d3287f7-d854-4c21-9054-23a98ca574f2"
        },
        {
            "code": "Réseaux_52",
            "description": "[email] Chiffrer les pièces jointes contenant des données.",
            "importance": 0,
            "uuid": "0c56934f-baaa-48b5-8ad0-73de64fa063b"
        },
        {
            "code": "Réseaux_53",
            "description": "[email] Sensibiliser les utilisateurs au fait qu'ils doivent éviter d'ouvrir des courriers électroniques d'origine inconnue et encore plus les pièces jointes à risque (extensions .pif, .com, .bat, .exe, .vbs, .lnk, etc.) ou configurer le système de telle sorte qu'il ne soit pas possible de les ouvrir.",
            "importance": 0,
            "uuid": "7c85c408-1323-4985-8f9a-bef2aec522ab"
        },
        {
            "code": "Réseaux_54",
            "description": "[email] Sensibiliser les utilisateurs au fait qu'il convient de ne pas relayer les canulars.",
            "importance": 0,
            "uuid": "37f331a2-8f93-4a53-9323-43963bf9e26b"
        },
        {
            "code": "Réseaux_55",
            "description": "[messagerie instantanée] Interdire l'installation et l'utilisation de logiciels de messagerie instantanée, et si cela est néanmoins nécessaire, sensibiliser les utilisateurs aux risques et bonnes pratiques à adopter.",
            "importance": 0,
            "uuid": "132abb6c-f387-4aac-b465-019b5f510c0c"
        },
        {
            "code": "Sauvegardes_01",
            "description": "Effectuer une sauvegarde des données, qu'elles soient sous forme papier ou électronique, de manière régulière, selon les besoins de disponibilité et d'intégrité des métiers.",
            "importance": 0,
            "uuid": "37fee388-8a21-4f4e-8419-a79218124f32"
        },
        {
            "code": "Sauvegardes_02",
            "description": "Mettre en oeuvre des mécanismes de chiffrement du canal de transmission des données dans le cas où la sauvegarde est automatisée par le réseau.",
            "importance": 0,
            "uuid": "b2932c56-37ef-4e84-9119-53503a2df913"
        },
        {
            "code": "Sauvegardes_03",
            "description": "Protéger les données sauvegardées au même niveau de sécurité qu'en exploitation.",
            "importance": 0,
            "uuid": "943f7bd3-2760-4c7b-99b7-404397d602fd"
        },
        {
            "code": "Sauvegardes_04",
            "description": "Tester les sauvegardes de manière régulière.",
            "importance": 0,
            "uuid": "5c4e538a-e437-4a42-a1de-ff750f441313"
        },
        {
            "code": "Sauvegardes_05",
            "description": "Tester l'intégrité des données sauvegardées si les besoins des métiers le nécessitent.",
            "importance": 0,
            "uuid": "32f1a608-726a-41f4-b20f-be030b4d6989"
        },
        {
            "code": "Sauvegardes_06",
            "description": "Formaliser le niveau d'engagement du service en charge de l'informatique vis-à-vis du recouvrement des informations chiffrées en cas de perte ou d'indisponibilité des secrets assurant le chiffrement (mots de passe, certificats) et contrôler régulièrement les procédures en cohérence avec l'engagement pris.",
            "importance": 0,
            "uuid": "fb8d805a-1ceb-4c7b-ab28-f402fe453f18"
        },
        {
            "code": "Sauvegardes_07",
            "description": "S'assurer que l'organisation, les personnels, systèmes et locaux nécessaires au traitement sont disponibles dans un délai correspondant aux besoins des métiers.",
            "importance": 0,
            "uuid": "03f796b3-a464-4d28-b11f-2d8cff590458"
        },
        {
            "code": "Sauvegardes_08",
            "description": "S'assurer de la localisation géographique des sauvegardes, notamment vérifier dans quel(s) pays les données seront stockées.",
            "importance": 0,
            "uuid": "e80d1526-b858-4469-bcd6-3ac308b7e8a4"
        },
        {
            "code": "Sites web_01",
            "description": "Utiliser un certificat signé par une autorité racine de confiance \"qualifiée\".",
            "importance": 0,
            "uuid": "ba86f498-922c-4b46-bd2c-a6e75d90aaea"
        },
        {
            "code": "Sites web_02",
            "description": "Le chiffrement des flux doit être garanti par TLS, dès lors, il est nécessaire de configurer le serveur web afin que celui-ci n'accepte que ce type de protocole (exclure notamment le protocole SSL et rendre le chiffrement obligatoire lors de la négociation SSL).",
            "importance": 0,
            "uuid": "54ada837-7393-4bb9-82fa-8dbabe5781e8"
        },
        {
            "code": "Sites web_03",
            "description": "Définissez un Content-Security-Policy n'incluant que les acteurs que vous autorisez à déposer des contenus sur votre site.",
            "importance": 0,
            "uuid": "df02a7d4-64a0-4424-81c5-57c407c0ce1f"
        },
        {
            "code": "Sites web_04",
            "description": "Effectuez des audits de sécurité sur le site.",
            "importance": 0,
            "uuid": "839987f9-a3af-4857-8d15-97e7a7a4b3e7"
        },
        {
            "code": "sources non humaines_01",
            "description": "Mettre en place des moyens de prévention, détection et protection contre l'incendie.",
            "importance": 0,
            "uuid": "b7f1e10b-5c50-4a94-bb06-5d94df2f7006"
        },
        {
            "code": "sources non humaines_02",
            "description": "Mettre en place des moyens de surveillance de la température.",
            "importance": 0,
            "uuid": "2df0a1d8-498a-4f74-8ddd-e66ce95abe32"
        },
        {
            "code": "sources non humaines_03",
            "description": "Mettre en place des moyens de surveillance et de secours de l'alimentation électrique.",
            "importance": 0,
            "uuid": "85e4715f-cdf5-410d-9c85-4c2bf520caba"
        },
        {
            "code": "sources non humaines_04",
            "description": "Mettre en place des moyens de prévention des dégâts des eaux.",
            "importance": 0,
            "uuid": "1b030af3-71d2-4d38-a9c8-229cdb73e0da"
        },
        {
            "code": "sources non humaines_05",
            "description": "S'assurer que les services essentiels (électricité, eau, climatisation, etc.) sont correctement dimensionnés pour les systèmes pris en charge.",
            "importance": 0,
            "uuid": "0d7b594a-9f70-4757-90cd-a8929212d28a"
        },
        {
            "code": "sources non humaines_06",
            "description": "Préciser dans les contrats de maintenance des équipements de fonctionnement des services essentiels et de sécurité (extincteurs, climatisation, eau, détection de fumée et de chaleur, détection d'ouverture et d'effraction, groupe électrogène, etc.) un délai d'intervention adapté en cas de défaillance, et les contrôler au moins une fois par an.",
            "importance": 0,
            "uuid": "3d3db077-14c5-4dd9-9a35-a20a480f673d"
        },
        {
            "code": "sources non humaines_07",
            "description": "En cas de fortes exigences de disponibilité, connecter l'infrastructure de télécommunications par au moins deux accès différents et indépendants, et faire en sorte de pouvoir basculer de l'un à l'autre très rapidement. Si les besoins de disponibilité sont très élevés, le recours à un site de secours doit être envisagé.",
            "importance": 0,
            "uuid": "6fd63d6c-8e3f-4fed-8b46-3a121cad6716"
        },
        {
            "code": "Sous-traitance_01",
            "description": "Un contrat de sous-traitance doit être conclu avec chacun des sous-traitants, précisant l'ensemble des éléments prévus à l'art. 28 du RGPD.",
            "importance": 0,
            "uuid": "8e8d9706-2f4e-4155-9b4e-2e518af726c8"
        },
        {
            "code": "Sous-traitance_02",
            "description": "Encadrer la relation de sous-traitance via un contrat conclu intuitu personæ.",
            "importance": 0,
            "uuid": "dc824e4f-631c-44b7-853e-c50fcc4845de"
        },
        {
            "code": "Sous-traitance_03",
            "description": "Exiger du sous-traitant la transmission de sa Politique de Sécurité des Systèmes d'Information (PSSI) ainsi que de toute les preuves de ses certifications en matière de sécurité de l'information et annexer ces documents au contrat.",
            "importance": 0,
            "uuid": "c525a6b8-a186-4a5e-8ec8-ca86a37a8a83"
        },
        {
            "code": "Sous-traitance_04",
            "description": "Déterminer et fixer contractuellement de façon très précise les opérations que le sous-traitant sera amené à effectuer sur les données à caractère personnel.",
            "importance": 0,
            "uuid": "55238cb5-d218-4ef3-a16a-fc8950e2cb58"
        },
        {
            "code": "Sous-traitance_05",
            "description": "Déterminer contractuellement la répartition des responsabilités vis-à-vis des processus légaux visant à permettre l'exercice des droits des personnes.",
            "importance": 0,
            "uuid": "e6b0068c-2d13-45d6-bdb1-f3c01492a0e5"
        },
        {
            "code": "Sous-traitance_06",
            "description": "Interdire explicitement ou encadrer le recours à des sous-traitants de rang 2.",
            "importance": 0,
            "uuid": "2b741baa-6527-4d1e-af57-588d3222bfc0"
        },
        {
            "code": "Sous-traitance_07",
            "description": "Préciser dans le contrat que le respect des obligations de protection des données personnelles est une obligation essentielle du contrat.",
            "importance": 0,
            "uuid": "ad62edd5-a05f-47e7-bf7a-239d70c9c5fe"
        },
        {
            "code": "Sous-traitance_08",
            "description": "[fournisseurs de services de cloud computing] Imposer au fournisseur une séparation à minima logique entre les données de l'organisme et les données de ses autres clients.",
            "importance": 0,
            "uuid": "91c09f69-641d-4a67-b280-d88bc48cc025"
        },
        {
            "code": "Sous-traitance_09",
            "description": "[fournisseurs de services de cloud computing] Définir très précisément les lieux dans lesquels les données sont susceptibles d'être stockées, et les pays depuis lesquels les données stockées dans le cloud sont susceptibles d'être accessibles.",
            "importance": 0,
            "uuid": "ec375f72-ec16-4e03-84c1-0fd1cbd2544c"
        },
        {
            "code": "Supervision_01",
            "description": "Effectuer régulièrement des contrôles des traitements de données afin de vérifier leur conformité au RGPD ainsi que l'effectivité et l'adéquation des mesures prévues.",
            "importance": 0,
            "uuid": "fd130562-249c-4a67-a6ac-02ece98679cb"
        },
        {
            "code": "Supervision_02",
            "description": "Fixer des objectifs dans le domaine de la vie privée et des indicateurs permettant de vérifier l'atteinte de ces objectifs.",
            "importance": 0,
            "uuid": "6d968cf0-962b-4f7c-b03d-c3abd72e5b4a"
        },
        {
            "code": "Supervision_03",
            "description": "Faire un bilan de la protection des données personnelles de manière régulière.",
            "importance": 0,
            "uuid": "f908a54b-facf-4b53-9709-b4f2ecc00450"
        },
        {
            "code": "Surveillance_01",
            "description": "Mettre en place une architecture de journalisation permettant de conserver une trace des évènements de sécurité et du moment où ils ont eu lieu.",
            "importance": 0,
            "uuid": "7db357a2-3776-44b4-a97e-b78367310ff9"
        },
        {
            "code": "Surveillance_02",
            "description": "Choisir les évènements à journaliser en fonction du contexte, des supports (postes de travail, pare-feu, équipements réseau, serveurs, etc.), des risques et du cadre légal.",
            "importance": 0,
            "uuid": "d62b121b-9365-40d8-8a56-2e2d542909ff"
        },
        {
            "code": "Surveillance_03",
            "description": "Respecter les exigences du RGPD si les évènements journalisés comprennent des données à caractère personnel.",
            "importance": 0,
            "uuid": "336df569-2369-4397-accd-2ec1886e00aa"
        },
        {
            "code": "Surveillance_04",
            "description": "Procéder périodiquement à l'analyse des informations journalisées, voire mettre en place un système de détection automatique de signaux faibles.",
            "importance": 0,
            "uuid": "2868de95-7bb9-46b7-8218-d9cc8424b72d"
        },
        {
            "code": "Surveillance_05",
            "description": "Conserver les journaux d'évènements sur six mois, hors contraintes légales et règlementaires particulières imposant des durées de conservation spécifiques.",
            "importance": 0,
            "uuid": "2452fb02-3ec7-4f44-a0c0-d31a18542ed8"
        },
        {
            "code": "Surveillance_06",
            "description": "[pare-feu] Mettre en place une politique de filtrage interdisant toute communication directe entre des postes internes et l'extérieur (ne permettre les connexions que via le pare-feu) et ne laisser passer que les flux explicitement autorisés (blocage par le pare-feu de toute connexion sauf celles identifiées comme nécessaires).",
            "importance": 0,
            "uuid": "4b4d6e38-4e83-4eba-903c-6bd0b21fcc3d"
        },
        {
            "code": "Surveillance_07",
            "description": "[pare-feu] Journaliser toutes les connexions autorisées réussies et toutes les tentatives de connexions rejetées.",
            "importance": 0,
            "uuid": "1c1b2da0-1208-490a-bf54-23155d261ae9"
        },
        {
            "code": "Surveillance_08",
            "description": "[pare-feu] Exporter les journaux par un canal sécurisé vers un serveur dédié.",
            "importance": 0,
            "uuid": "4b605778-2fd7-4fc7-969a-1c07218d63a9"
        },
        {
            "code": "Surveillance_09",
            "description": "[équipement réseau] Journaliser l'activité sur chaque port d'un commutateur ou d'un routeur.",
            "importance": 0,
            "uuid": "f9934676-6196-4d87-bf84-5e0a56d8e286"
        },
        {
            "code": "Surveillance_10",
            "description": "[équipement réseau] Exporter les journaux vers un serveur dédié à l'aide d'un client syslog intégré ou via un flux netflow.",
            "importance": 0,
            "uuid": "7916263f-fa8a-42f8-b9e1-479f5fe7365a"
        },
        {
            "code": "Surveillance_11",
            "description": "[équipement réseau] Contrôler la volumétrie en fonction des heures, ainsi que le respect des éventuelles listes de contrôle d'accès (ACL : Access Control Lists) pour les routeurs.",
            "importance": 0,
            "uuid": "8f5e385a-e9c5-458e-ad24-24e26f4e5e6d"
        },
        {
            "code": "Surveillance_12",
            "description": "[serveur] Journaliser le maximum d'informations sur les requêtes effectuées par les clients sur les serveurs web dans le but d'identifier les défauts de configuration, les injections de requêtes SQL, etc.",
            "importance": 0,
            "uuid": "6b9f8abc-39fb-492e-bda4-0d8338cf3f46"
        },
        {
            "code": "Surveillance_13",
            "description": "[serveur] Journaliser l'activité des usagers sur les serveurs proxy.",
            "importance": 0,
            "uuid": "d288aca4-c9ee-407c-881f-1a5d5609536f"
        },
        {
            "code": "Surveillance_14",
            "description": "[serveur] Journaliser l'ensemble des requêtes qui sont faites aux serveurs DNS, qu'elles soient émises par des internautes ou par des clients du réseau interne.",
            "importance": 0,
            "uuid": "b38b8e87-ef3d-4dac-bdb0-28e691a638e9"
        },
        {
            "code": "Surveillance_15",
            "description": "[serveur] Journaliser les données d'authentification horodatées et la durée de chaque connexion sur les serveurs d'accès distant.",
            "importance": 0,
            "uuid": "08d11510-f718-4575-b19a-abbd372d335d"
        },
        {
            "code": "Surveillance_16",
            "description": "[serveur] Journaliser la réception et la gestion des messages sur les serveurs de messagerie.",
            "importance": 0,
            "uuid": "da6e1b58-6d07-4c15-b45b-f8973043180c"
        },
        {
            "code": "Traçabilité_01",
            "description": "Mettre en place un système de journalisation applicative permettant de conserver une trace des accès et modifications de données opérés par les utilisateurs et du moment où ils ont eu lieu.",
            "importance": 0,
            "uuid": "a7560e7f-76b1-4833-9b9d-ed6eea38f8a9"
        },
        {
            "code": "Traçabilité_02",
            "description": "Mettre en place une authentification des utilisateurs permettant d'assurer l'imputabilité des évènements journalisés.",
            "importance": 0,
            "uuid": "d1a26642-51f0-4dd9-8dde-3386af130a1d"
        },
        {
            "code": "Traçabilité_03",
            "description": "Respecter les exigences du RGPD concernant les évènements journalisés rattachés à un utilisateur identifié.",
            "importance": 0,
            "uuid": "f7920955-ae16-4502-8b24-e85186c4dfc0"
        },
        {
            "code": "Traçabilité_04",
            "description": "Procéder périodiquement à l'analyse des informations journalisées, voire mettre en place un système de détection automatique de comportements anormaux.",
            "importance": 0,
            "uuid": "b0cf4f33-d957-4e7f-b604-cc6983facce5"
        },
        {
            "code": "Transferts hors UE_01",
            "description": "Détailler le lieu géographique de stockage des différentes données du traitement.",
            "importance": 0,
            "uuid": "69fdb9c2-df41-49d2-840f-7926f211ae6e"
        },
        {
            "code": "Transferts hors UE_02",
            "description": "justifier le choix d'un hébergement éloigné et indiquer les modalités d'encadrement juridique mises en oeuvre afin d'assurer une protection adéquate aux données faisant l'objet d'un transfert transfrontalier.",
            "importance": 0,
            "uuid": "a404e683-9464-4fd4-b98a-5d651684f8b5"
        }
    ],
    "version": 0
}