compliance-check

Par anthropics · knowledge-work-plugins

Effectuez une vérification de conformité sur une action proposée, une fonctionnalité produit ou une initiative commerciale, en identifiant les réglementations applicables, les approbations requises et les zones de risque. À utiliser lors du lancement d'une fonctionnalité impliquant des données personnelles, lorsque le marketing ou le produit propose quelque chose ayant des implications réglementaires, ou lorsque vous devez connaître les approbations et les exigences juridictionnelles applicables avant de procéder.

npx skills add https://github.com/anthropics/knowledge-work-plugins --skill compliance-check

/compliance-check -- Examen de conformité

Si vous voyez des placeholders non familiers ou devez vérifier quels outils sont connectés, consultez CONNECTORS.md.

Exécutez un examen de conformité sur une action proposée, une fonctionnalité de produit, une campagne marketing ou une initiative commerciale.

Important : Cette commande assiste les workflows juridiques mais ne fournit pas de conseils juridiques. Les évaluations de conformité doivent être examinées par des professionnels juridiques qualifiés. Les exigences réglementaires changent fréquemment ; vérifiez toujours les exigences actuelles auprès de sources faisant autorité.

Utilisation

/compliance-check $ARGUMENTS

Informations dont j'ai besoin

Décrivez ce que vous prévoyez de faire. Exemples :

  • "Nous voulons lancer un programme de parrainage avec des récompenses en espèces"
  • "Nous ajoutons l'authentification biométrique à notre application mobile"
  • "Nous devons traiter les données des clients EU dans notre centre de données américain"
  • "Le marketing veut utiliser des témoignages de clients dans les publicités"

Sortie

## Examen de conformité : [Initiative]

### Résumé
[Évaluation rapide : Procéder / Procéder sous conditions / Nécessite examen approfondi]

### Réglementations et politiques applicables
| Réglementation/Politique | Pertinence | Exigences clés |
|--------------------------|-----------|----------------|
| [GDPR / CCPA / HIPAA / etc.] | [Comment cela s'applique] | [Ce que vous devez faire] |

### Exigences
| # | Exigence | Statut | Action requise |
|---|----------|--------|----------------|
| 1 | [Exigence] | [Satisfaite / Non satisfaite / Inconnue] | [Ce qu'il faut faire] |

### Zones à risque
| Risque | Gravité | Atténuation |
|--------|---------|-------------|
| [Risque] | [Élevée/Moyenne/Faible] | [Comment l'aborder] |

### Actions recommandées
1. [Action la plus importante]
2. [Deuxième priorité]
3. [Troisième priorité]

### Approbations requises
| Approbateur | Raison | Statut |
|------------|--------|--------|
| [Personne/Équipe] | [Raison] | [En attente] |

### Examen approfondi recommandé
[Domaines où l'examen par un conseiller externe ou un spécialiste est conseillé]

Aperçu des réglementations sur la protection des données

GDPR (Règlement général sur la protection des données)

Champ d'application : S'applique au traitement des données personnelles des individus dans l'UE/EEE, quel que soit le lieu où se trouve l'organisation de traitement.

Obligations clés pour les équipes juridiques internes :

  • Bases légales : Identifier et documenter la base légale pour chaque activité de traitement (consentement, contrat, intérêt légitime, obligation légale, intérêt vital, mission publique)
  • Droits des personnes concernées : Répondre aux demandes d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition dans les 30 jours (prorogeable de 60 jours pour les demandes complexes)
  • Analyses d'impact relatives à la protection des données (AIPD) : Obligatoires pour le traitement susceptible de créer un risque élevé pour les individus
  • Notification de violation : Notifier l'autorité de contrôle dans les 72 heures suivant la découverte d'une violation de données personnelles ; notifier les personnes concernées sans délai injustifié en cas de risque élevé
  • Registres de traitement : Tenir à jour les registres des activités de traitement selon l'article 30
  • Transferts internationaux : Assurer les garanties appropriées pour les transferts hors EEE (clauses contractuelles types, décisions d'adéquation, règles d'entreprise contraignantes)
  • Obligation de nommer un DPO : Désigner un délégué à la protection des données si requis (autorité publique, traitement à grande échelle de catégories spéciales, surveillance systématique à grande échelle)

Points de contact courants pour les équipes juridiques internes :

  • Examen des contrats de traitement des données des fournisseurs pour la conformité GDPR
  • Conseil aux équipes produit sur les exigences de protection des données dès la conception
  • Réponse aux demandes des autorités de contrôle
  • Gestion des mécanismes de transfert de données transfrontalières
  • Examen des mécanismes de consentement et des avis de confidentialité

CCPA / CPRA (California Consumer Privacy Act / California Privacy Rights Act)

Champ d'application : S'applique aux entreprises qui collectent les informations personnelles des résidents californiens et respectent les seuils de chiffre d'affaires, de volume de données ou de vente de données.

Obligations clés :

  • Droit de savoir : Les consommateurs peuvent demander la divulgation des informations personnelles collectées, utilisées et partagées
  • Droit à l'oubli : Les consommateurs peuvent demander la suppression de leurs informations personnelles
  • Droit de refuser : Les consommateurs peuvent refuser la vente ou le partage de leurs informations personnelles
  • Droit de correction : Les consommateurs peuvent demander la correction des informations personnelles inexactes (ajout du CPRA)
  • Droit de limiter l'utilisation des informations personnelles sensibles : Les consommateurs peuvent limiter l'utilisation des informations personnelles sensibles à des fins spécifiques (ajout du CPRA)
  • Principe de non-discrimination : Impossible de discriminer les consommateurs qui exercent leurs droits
  • Avis de confidentialité : Doit fournir un avis de confidentialité au moment ou avant la collecte décrivant les catégories d'informations personnelles collectées et les fins
  • Contrats de prestataires de services : Les contrats avec les prestataires de services doivent restreindre l'utilisation des informations personnelles à l'objectif commercial spécifié

Délais de réponse :

  • Reconnaître la réception dans les 10 jours ouvrables
  • Répondre de manière substantielle dans les 45 jours calendaires (prorogeable de 45 jours avec notification)

Autres réglementations clés à surveiller

Réglementation Juridiction Différenciateurs clés
LGPD (Brésil) Brésil Similaire au GDPR ; exige la nomination d'un DPD ; application par l'Autorité nationale de protection des données (ANPD)
POPIA (Afrique du Sud) Afrique du Sud Surveillance du régulateur de l'information ; inscription du traitement obligatoire
PIPEDA (Canada) Canada (fédéral) Cadre fondé sur le consentement ; supervision par le Commissariat à la protection de la vie privée ; modernisation en cours
PDPA (Singapour) Singapour Registre de refus ; notification obligatoire de violation ; application par la PDPC
Privacy Act (Australie) Australie Principes australiens de la vie privée (APP) ; schéma de notification de violations de données
PIPL (Chine) Chine Règles strictes de transfert transfrontalier ; exigences de localisation des données ; supervision par la CAC
UK GDPR Royaume-Uni Version post-Brexit du GDPR ; supervision par l'ICO ; similaire au GDPR de l'UE avec adéquation spécifique au Royaume-Uni

Liste de vérification pour l'examen des contrats de traitement des données

Lors de l'examen d'un contrat de traitement des données ou d'un addendum de traitement des données, vérifiez les éléments suivants :

Éléments requis (article 28 du GDPR)

  • [ ] Objet et durée : Champ d'application et durée clairement définis du traitement
  • [ ] Nature et finalité : Description spécifique du traitement qui aura lieu et pourquoi
  • [ ] Type de données personnelles : Catégories de données personnelles en cours de traitement
  • [ ] Catégories de personnes concernées : Dont les données personnelles sont traitées
  • [ ] Obligations et droits du responsable du traitement : Instructions et droits de contrôle du responsable

Obligations du sous-traitant

  • [ ] Traiter uniquement selon les instructions documentées : Le sous-traitant s'engage à traiter uniquement selon les instructions du responsable (avec exception pour les exigences légales)
  • [ ] Confidentialité : Le personnel autorisé à traiter s'est engagé à respecter la confidentialité
  • [ ] Mesures de sécurité : Mesures techniques et organisationnelles appropriées décrites (référence à l'article 32)
  • [ ] Exigences relatives aux sous-traitants :
    • [ ] Exigence d'autorisation écrite (générale ou spécifique)
    • [ ] Si autorisation générale : notification des changements avec possibilité de s'opposer
    • [ ] Sous-traitants tenus par les mêmes obligations via accord écrit
    • [ ] Le sous-traitant reste responsable de la performance du sous-traitant
  • [ ] Assistance pour les droits des personnes concernées : Le sous-traitant assistera le responsable dans la réponse aux demandes des personnes concernées
  • [ ] Assistance en matière de sécurité et de violation : Le sous-traitant assistera pour les obligations de sécurité, la notification de violation, les AIPD et les consultations préalables
  • [ ] Suppression ou restitution : À la résiliation, supprimer ou restituer toutes les données personnelles (au choix du responsable) et supprimer les copies existantes sauf rétention légale obligatoire
  • [ ] Droits d'audit : Le responsable a le droit de mener des audits et des inspections (ou d'accepter des rapports d'audit tiers)
  • [ ] Notification de violation : Le sous-traitant notifiera le responsable des violations de données personnelles sans délai injustifié (idéalement dans les 24-48 heures ; doit permettre au responsable de respecter le délai réglementaire de 72 heures)

Transferts internationaux

  • [ ] Mécanisme de transfert identifié : Clauses contractuelles types, décision d'adéquation, règles d'entreprise contraignantes ou autre mécanisme valide
  • [ ] Version des clauses contractuelles types : Utilisation des clauses contractuelles types actuelles (version de juin 2021) si applicable
  • [ ] Module correct : Module de clauses contractuelles types approprié sélectionné (C2P, C2C, P2P, P2C)
  • [ ] Évaluation d'impact du transfert : Complétée si transfert vers des pays sans décisions d'adéquation
  • [ ] Mesures supplémentaires : Mesures techniques, organisationnelles ou contractuelles pour aborder les lacunes identifiées dans l'évaluation d'impact du transfert
  • [ ] Addendum UK : Si les données personnelles du Royaume-Uni sont dans le champ d'application, l'addendum relatif au transfert international de données du Royaume-Uni est inclus

Considérations pratiques

  • [ ] Responsabilité : Les dispositions de responsabilité du contrat de traitement des données s'alignent avec (ou n'entrent pas en conflit avec) l'accord de services principal
  • [ ] Alignement de la résiliation : La durée du contrat de traitement des données s'aligne avec l'accord de services
  • [ ] Lieux de traitement : Les lieux de traitement sont spécifiés et acceptables
  • [ ] Normes de sécurité : Normes de sécurité spécifiques ou certifications requises (SOC 2, ISO 27001, etc.)
  • [ ] Assurance : Couverture d'assurance adéquate pour les activités de traitement des données

Problèmes courants des contrats de traitement des données

Problème Risque Position standard
Autorisation générale de sous-traitant sans notification Perte de contrôle sur la chaîne de traitement Exiger notification avec droit de s'opposer
Délai de notification de violation > 72 heures Peut empêcher la notification réglementaire en temps opportun Exiger notification dans les 24-48 heures
Pas de droits d'audit (ou droits d'audit uniquement via rapports tiers) Impossible de vérifier la conformité Accepter SOC 2 Type II + droit d'audit sur dénonciation
Délai de suppression des données non spécifié Les données retenues indéfiniment Exiger suppression dans les 30-90 jours suivant la résiliation
Aucun lieu de traitement des données spécifié Les données pourraient être traitées n'importe où Exiger divulgation des lieux de traitement
Clauses contractuelles types obsolètes Mécanisme de transfert invalide Exiger clauses contractuelles types actuelles (version 2021)

Gestion des demandes des personnes concernées

Réception des demandes

Lors de la réception d'une demande d'une personne concernée :

  1. Identifier le type de demande :

    • Accès (copie des données personnelles)
    • Rectification (correction de données inexactes)
    • Effacement / suppression ("droit à l'oubli")
    • Limitation du traitement
    • Portabilité des données (format structuré, lisible par machine)
    • Opposition au traitement
    • Refus de vente/partage (CCPA/CPRA)
    • Limitation de l'utilisation des informations personnelles sensibles (CPRA)

  2. Identifier la ou les réglementations applicables :

    • Où se trouve la personne concernée ?
    • Quelles lois s'appliquent en fonction de la présence et des activités de votre organisation ?
    • Quels sont les exigences et délais spécifiques ?

  3. Vérifier l'identité :

    • Confirmer que le demandeur est qui il prétend être
    • Utiliser des mesures de vérification raisonnables proportionnées à la sensibilité des données
    • Ne pas exiger de documentation excessive

  4. Enregistrer la demande :

    • Date de réception
    • Type de demande
    • Identité du demandeur
    • Réglementation applicable
    • Date limite de réponse
    • Responsable assigné

Délais de réponse

Réglementation Accusé de réception initial Réponse substantielle Prorogation
GDPR Non spécifié (bonne pratique : rapidement) 30 jours +60 jours (avec notification)
CCPA/CPRA 10 jours ouvrables 45 jours calendaires +45 jours (avec notification)
UK GDPR Non spécifié (bonne pratique : rapidement) 30 jours +60 jours (avec notification)
LGPD Non spécifié 15 jours Prorogations limitées

Exemptions et exceptions

Avant de satisfaire à une demande, vérifiez si des exemptions s'appliquent :

Exemptions courantes dans les réglementations :

  • Défense ou établissement de réclamations juridiques
  • Obligations légales exigeant la rétention
  • Intérêt public ou autorité officielle
  • Liberté d'expression et d'information (pour les demandes d'effacement)
  • Archivage dans l'intérêt public ou recherche scientifique/historique

Considérations spécifiques à l'organisation :

  • Gel des litiges : Les données personnelles faisant l'objet d'une ordonnance de gel ne peuvent pas être supprimées
  • Rétention réglementaire : Les dossiers financiers, dossiers d'emploi et autres catégories peuvent avoir des délais de rétention obligatoires
  • Droits des tiers : Satisfaire à la demande pourrait nuire aux droits d'autres personnes

Processus de réponse

  1. Rassembler toutes les données personnelles du demandeur dans tous les systèmes
  2. Appliquer les exemptions applicables et documenter la base
  3. Préparer la réponse : satisfaire à la demande ou expliquer pourquoi (en totalité ou en partie) elle ne peut pas l'être
  4. Si refus (en totalité ou en partie) : citer la base juridique spécifique du refus
  5. Informer le demandeur de son droit de déposer une plainte auprès de l'autorité de contrôle
  6. Documenter la réponse et conserver les registres de la demande et de la réponse

Bases du suivi réglementaire

Que surveiller

Maintenir une connaissance des développements dans :

  • Orientations réglementaires : Nouvelles orientations ou orientations mises à jour des autorités de contrôle (ICO, CNIL, FTC, procureurs généraux des États, etc.)
  • Actions d'application : Amendes, ordonnances et règlements qui signalent les priorités réglementaires
  • Changements législatifs : Nouvelles lois sur la protection des données, modifications des lois existantes, réglementations d'application
  • Normes industrielles : Mises à jour d'ISO 27001, SOC 2, cadres NIST et exigences spécifiques à un secteur
  • Développements des transferts transfrontaliers : Décisions d'adéquation, mises à jour des clauses contractuelles types, exigences de localisation des données

Approche du suivi

  1. S'abonner aux communications des autorités réglementaires (bulletins d'information, flux RSS, annonces officielles)
  2. Suivre les publications juridiques pertinentes pour l'analyse des nouveaux développements
  3. Examiner les mises à jour des associations professionnelles pour les orientations spécifiques au secteur
  4. Tenir à jour un calendrier réglementaire des délais, dates d'entrée en vigueur et jalons de conformité connus
  5. Informer l'équipe juridique des développements importants qui affectent les activités de traitement de l'organisation

Critères d'escalade

Escalader les développements réglementaires auprès du conseiller juridique principal ou de la direction si :

  • Une nouvelle réglementation ou orientation affecte directement les activités principales de l'organisation
  • Une action d'application dans le secteur de l'organisation signale une surveillance réglementaire renforcée
  • Une date limite de conformité approche et nécessite des changements organisationnels
  • Un mécanisme de transfert de données dont l'organisation dépend est contesté ou invalidé
  • Une autorité réglementaire ouvre une enquête ou une investigation impliquant l'organisation

Conseils

  1. Soyez spécifique — "Nous voulons envoyer un email à tous nos utilisateurs" est mieux que "campagne marketing."
  2. Incluez la géographie — Les exigences de conformité varient selon la juridiction.
  3. Mentionnez les données — Quelles données personnelles sont impliquées ? Cela détermine la plupart des exigences de conformité.

Skills similaires

posthog-inbound-leads
posthog / skills

Qualifier et répondre aux leads entrants PostHog via Salesforce, Vitally et recherche web.

34
zoom-general
anthropics / knowledge-work-plugins

Classifier et chaîner les skills Zoom selon les signaux détectés dans une requête développeur.

12 097
copilot-cli-quickstart
github / awesome-copilot

Apprendre GitHub Copilot CLI interactivement via tutoriels guidés et Q&A personnalisés.

32 867
posthog-onboarding-lead-research
posthog / skills

Rechercher, qualifier et scorer un lead PostHog avec brief complet et email d'approche.

34
omni-content-builder
exploreomni / omni-agent-skills

Créer, gérer et mettre à jour des documents et dashboards Omni via CLI.

16