Quels sont les registres des activités de traitement ?

La tenue d’un registre des activités de traitement est obligatoire en vertu de l’article 30 du RGPD.

Le registre des activités de traitement décrit le traitement des données à caractère personnel au sein d’une organisation et les détails de ce traitement. Son objectif est de garantir que les organisations sont transparentes et responsables de leurs activités de traitement des données, et de démontrer leur conformité avec le RGPD.

Le registre sert de référence centrale pour toutes les activités de traitement des données et doit être régulièrement mis à jour afin d’en garantir l’exactitude et l’exhaustivité. La tenue d’un registre des activités de traitement est essentielle pour que les organisations remplissent leurs obligations au titre du RGPD et démontrent leur conformité aux régulateurs et autres parties prenantes.

Pourquoi tenir un registre des activités de traitement ?

L’article 30 du RGPD exige des organisations qu’elles tiennent un registre des activités de traitement, ce qui est une obligation légale.

Le registre des activités de traitement sert d’outil de gestion pour la protection des données en fournissant une vue d’ensemble du traitement. Lorsque le traitement des données à caractère personnel est mis en correspondance avec cet enregistrement, cela permet de se conformer à d’autres exigences du RGPD, telles que la mise en œuvre de mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, comme l’exige l’article 32.

Le dossier deviendra l’outil de gestion permettant d’aligner les efforts de l’organisation sur sa conformité au RGPD.

Exemptions à l’obligation de tenir un registre des activités de traitement.

L’article 30, paragraphe 4, exempte les organisations employant moins de 250 personnes de l’obligation de tenir un registre des activités de traitement, mais uniquement si leur traitement de données à caractère personnel ne fait pas l’objet d’un enregistrement :

• présentent un risque pour les droits et libertés des personnes concernées,
• ne se produisent qu’occasionnellement, ou
• impliquent des catégories particulières de données visées à l’article 9, paragraphe 1, ou des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Dans la pratique, ces exemptions sont rarement pertinentes puisque les législateurs considèrent la gestion des salaires ou le traitement des données des clients comme des traitements non occasionnels de données à caractère personnel.

La plupart des entreprises ont des clients, des employés ou des visiteurs sur leur site web, ce qui rend l’exemption difficile à utiliser dans la pratique, car même une société holding peut avoir un site web.

En outre, cette exemption ne dispense pas une organisation de se conformer aux autres exigences du RGPD. Le registre des activités de traitement étant un excellent outil pour se conformer aux règles du RGPD, l’absence d’un tel registre irait à l’encontre des efforts déployés par une organisation pour se mettre en conformité avec le RGPD.

Pour être clair, vous devez tenir un registre des activités de traitement. Il est peu probable que vous soyez exempté de cette obligation, et la tenue d’un registre est également nécessaire pour se conformer aux autres règles du RGPD.

Article 30: Registres des activités de traitement

Une organisation, qu’il s’agisse d’un responsable du traitement ou d’un sous-traitant, doit tenir un registre de ses activités de traitement. Ces documents doivent être consignés par écrit et mis à la disposition de l’autorité de contrôle sur demande.

Les deux sections suivantes décrivent les exigences en matière d’enregistrement des activités de traitement pour les responsables du traitement des données et les sous-traitants, respectivement.

Contrôleur de données: Les registres des activités de traitement

L’article 30, paragraphe 1, du RGPD énonce les exigences minimales concernant les informations qui doivent figurer dans vos registres des activités de traitement lorsque vous agissez en tant que responsable du traitement.

Ces exigences minimales sont les suivantes :

1. Notez le nom et les coordonnées de votre organisation afin que les personnes concernées sachent qui est le responsable du traitement traitement de leurs données. Si vous déterminez la finalité et les moyens du traitement conjointement avec un autre responsable du traitement, c’est-à-dire une autre organisation, vous devez également mentionner ses coordonnées. Si vous avez désigné un délégué à la protection des données, vous devez également noter ses coordonnées.
2. Décrivez toutes les finalités du traitement des données à caractère personnel.
3. Décrivez les catégories de personnes concernées, par exemple les visiteurs du site web ou les candidats à l’emploi. Vous devez également décrire les catégories de données à caractère personnel, par exemple les catégories spéciales de données à caractère personnel ou les données à caractère personnel générales, ainsi que les types de données spécifiques au sein de ces catégories.
4. Décrivez les catégories de destinataires auxquels vous communiquerez des données à caractère personnel, qui peuvent être une filiale de l’entreprise, un partenaire commercial, un bureau fiscal, etc. Il en va de même pour les bénéficiaires des pays tiers ou des organisations internationales.
5. Décrire les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales et, le cas échéant, la documentation relative aux garanties appropriées.
6. Décrivez les critères ou les délais d’effacement des différentes catégories de données à caractère personnel. Par exemple, quand effacerez-vous les données d’un candidat à l’emploi si celui-ci n’a pas obtenu le poste ?
7. Décrire de manière générale les mesures de sûreté visant à garantir un niveau de sûreté adapté au risque.

Responsable du traitement des données : Les registres des activités de traitement

Un sous-traitant doit tenir un registre des activités de traitement qu’il effectue pour le compte du responsable du traitement. Ces exigences diffèrent légèrement de celles du responsable du traitement et sont énoncées à l’article 30, paragraphe 2, du RGPD

Les exigences relatives à l’enregistrement des activités de traitement sont les suivantes pour les responsables du traitement des données :

1. Notez le nom et les coordonnées du sous-traitant et du responsable du traitement pour lequel le sous-traitant agit.
2. Décrire les activités de traitement effectuées pour le compte du responsable du traitement.
3. Décrire les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales.
4. Décrire de manière générale les mesures de sûreté visant à garantir un niveau de sûreté adapté au risque.

Lorsque nous évoquerons les registres des activités de traitement, nous nous référerons principalement aux registres des activités de traitement du responsable du traitement.

Registres des activités de traitement et des ajouts

Pour rendre la conformité au RGPD plus facile à gérer, nous vous recommandons d’ajouter des catégories supplémentaires à vos registres d’activités de traitement. Bien que l’article 30 énonce certaines règles en matière de conformité et de documentation, le RGPD contient beaucoup plus d’exigences. Le registre des activités de traitement est un excellent outil pour documenter le respect de toutes ces règles.

L’extension du registre des activités de traitement à d’autres sujets de conformité peut vous aider à mieux mettre en œuvre le RGPD et à documenter votre conformité. Même si cela peut sembler plus compliqué au départ, vous gagnerez du temps à long terme.

L’une des complexités de la conformité au RGPD est l’obligation de documenter la conformité à toutes les règles. Cela peut sembler une tâche impossible pour les petites entreprises, mais en adaptant les registres des activités de traitement, vous pouvez gérer plus efficacement la documentation relative à votre conformité.

Nous recommandons de tenir un registre des activités de traitement qui couvre toutes les sections suivantes.

1) Activités de traitement

La première étape de la création de vos registres des activités de traitement consiste à répertorier et à définir toutes vos activités de traitement. Vous devez tout d’abord décrire tous les processus de votre entreprise dans lesquels des données à caractère personnel sont traitées.

Vous devez définir et nommer vos activités de traitement de manière à ce qu’elles soient significatives d’un point de vue commercial et qu’elles puissent être distinguées d’autres activités de traitement, afin de ne pas les mélanger.

Par exemple, une activité de traitement peut être le “soutien à la clientèle” ou la “prospection commerciale”. Étant donné que ces activités sont distinctes l’une de l’autre et qu’elles sont effectuées par des employés différents au sein d’équipes différentes, il est logique, d’un point de vue commercial, de les documenter en tant que deux activités de traitement distinctes.

L’activité de traitement “assistance à la clientèle” implique le traitement de données à caractère personnel de clients existants, tandis que l’activité “prospection commerciale” implique le traitement de données à caractère personnel en vue d’acquérir de nouveaux clients.

Ils servent également des objectifs différents et ont des fondements juridiques différents.

Une entreprise typique de 50 employés peut avoir jusqu’à 30 activités de traitement, tandis qu’une entreprise de 1 500 employés peut en avoir jusqu’à 100. La définition des activités de traitement peut varier et est en partie subjective, car les entreprises ont des besoins individuels.

Définir les activités de traitement de manière pertinente est le fondement de la conformité au RGPD. La documentation RGPD s’appuiera sur ces activités, qui devraient être le principal moteur de la mise en œuvre du RGPD dans votre organisation pour couvrir l’ensemble de vos processus. Plus de détails à ce sujet peuvent être trouvés ailleurs.

2) L’équipe

Certaines activités de traitement sont liées car elles peuvent concerner le même sujet général. Par exemple, l’équipe des ressources humaines peut avoir les activités de traitement suivantes :

• Sollicitation de demandes d’emploi
• Les candidatures spontanées.
• Chasseurs de têtes
• L’accueil des nouveaux employés
• Évaluations des performances des employés
• Licenciement des employés
• …Et bien d’autres activités de transformation.

Il est logique que ces activités de traitement soient séparées dans vos registres d’activités de traitement et qu’elles ne soient pas regroupées en une seule grande activité de traitement appelée “RH”.

Les finalités du traitement des candidatures à un poste vacant et du licenciement d’un salarié sont clairement distinctes et il serait absurde d’essayer de les traiter de la même manière.

Cependant, il est toujours judicieux de les classer dans la catégorie générale “RH”, car l’équipe RH est en fin de compte l’équipe responsable de ces processus au sein de votre organisation.

Il est donc logique d’ajouter une catégorie d’entreprise pertinente à vos registres d’activités de traitement, par exemple:

• Ventes
• Marketing
• Support client
• Finances
• RH
• IT
• Etc.

En pratique, le responsable de chacune de ces catégories d’entreprises serait chargé de définir les activités de traitement au sein de son équipe et de se conformer au RGPD pour ces processus.

Déléguer cette responsabilité aux chefs d’équipe et aux employés est en fait une partie très importante de la mise en conformité avec le RGPD dans la pratique, et c’est quelque chose que beaucoup d’entreprises ne font pas.

3) Description de l’activité de traitement

Nous vous recommandons de décrire chacune des activités de traitement de la manière la plus détaillée possible, en vous concentrant sur le traitement des données à caractère personnel. Cette description vous aidera à clarifier votre définition de l’activité de traitement et à la distinguer d’autres activités de traitement.

La description vous servira également lorsque vous devrez revenir pour mettre à jour cet enregistrement d’activité de traitement. En outre, il sera utile à toute personne lisant vos enregistrements d’activités de traitement sans avoir défini l’activité elle-même, par exemple votre PDG ou les parties prenantes de l’organisation.

4) Contrôleur ou responsable du traitement des données

Comme nous l’avons mentionné au début, les exigences relatives à la tenue d’un registre des activités de traitement diffèrent selon que vous êtes un responsable du traitement des responsable du traitement ou un sous-traitant. Par conséquent, vous devez indiquer si vous êtes un responsable du traitement des responsable du traitement ou un sous-traitant chaque activité de traitement. Cela vous aidera à identifier vos obligations pour les différentes activités lorsque vous consulterez les registres des activités de traitement.

Par exemple, lorsque vous traitez des données à caractère personnel en tant que sous-traitant, vous devez suivre les procédures du responsable du traitement, car vous traitez simplement des données à caractère personnel en son nom. Si vous pensez traiter des données à caractère personnel pour le compte de quelqu’un d’autre, nous vous conseillons de vous renseigner sur le “ sous-traitant données“.

5) Finalité du traitement

Définir la finalité de vos activités de traitement n’est pas seulement une exigence, mais peut également vous aider à vous mettre en conformité avec le RGPD. Conformément aux articles 12 à 14, les finalités de vos activités de traitement doivent être communiquées aux personnes concernées lorsque vous collectez leurs données, et ces finalités doivent donc également figurer dans votre politique de protection de la vie privée.

La définition des finalités des activités de traitement peut sembler répétitive, car certains de ces processus sont similaires et peuvent se chevaucher légèrement.

Si vous définissez les finalités de deux activités de traitement et que vous constatez qu’elles sont très similaires, cela peut indiquer que vous devez les combiner en une seule activité. Toutefois, ce n’est pas une obligation.

Exemple : Assistance à la clientèle

Si l’on examine la finalité du traitement des données à caractère personnel pour l'”assistance à la clientèle”, il est clair que vous avez besoin de données à caractère personnel de base pour leur fournir l’assistance requise. Vous devrez identifier le client et son historique d’achat. Dans ce cas, la finalité du traitement des données à caractère personnel des clients serait la suivante ;

• Pour vous assurer que vous avez identifié le bon client,
• Offrir un bon service,
• et, surtout, à respecter les termes et conditions de l’accord d’achat.

6) Autres objectifs

Vous devez également vous demander si vous traitez des données à caractère personnel à des fins autres que celles d’origine. Si vous avez l’intention de traiter les données ultérieurement, vous devez en informer la personne concernée lors de la collecte des données à caractère personnel, conformément à l’article 13, paragraphe 3.

7) Actifs informationnels et responsables du traitement des données

Le RGPD exige que vous traitiez les données personnelles de manière appropriée. Le traitement des données à caractère personnel implique généralement l’utilisation d’un logiciel, qu’il s’agisse de votre propre logiciel, d’un logiciel externe ou d’un fournisseur de services.

Par conséquent, nous vous suggérons d’ajouter des informations sur le lieu de traitement de vos données à vos relevés d’activités de traitement.

Pour chaque activité de traitement, vous devez spécifier les actifs informationnels utilisés pour traiter l’information.

Nous utilisons le terme “actifs informationnels” pour désigner les actifs qui contiennent des informations, telles que les données à caractère personnel. Cela comprend les systèmes logiciels, les sites web, les feuilles Excel, les unités de stockage de données, les systèmes de fichiers, les lecteurs, les clients de messagerie, les archives et les autres actifs utilisés pour traiter l’information.

Certains actifs informationnels peuvent être des logiciels en tant que service (SaaS), ce qui signifie que les informations sont traitées par des parties externes. Cela signifie souvent que ces parties externes sont des responsables du traitement des données, mais nous devons vérifier dans tous les cas pour le confirmer.

Certaines activités de traitement sont souvent confiées à des consultants externes, tels que des comptables ou des agences de marketing. Ces personnes sont considérées comme des sous-traitants car elles effectuent le traitement pour le compte du responsable du traitement.

Il est important de déterminer si des sous-traitants sont impliqués dans les activités de traitement afin de s’assurer que le traitement des données est conforme au RGPD lorsqu’il est effectué en votre nom.

La cartographie de vos actifs informationnels et de vos processeurs de données peut aider votre entreprise à comprendre les flux de données au sein des systèmes et à assurer une gestion appropriée. Cette cartographie fournit également une vue organisée des contrats et des fournisseurs, ce qui peut améliorer la gestion des achats et des contrats.

8) Volume des données

Pour toutes les activités de traitement des données, il est important de noter le nombre de personnes dont les données sont traitées et d’ajouter ces informations à votre registre des activités de traitement. Cela clarifiera l’importance et la priorité de l’activité dans vos efforts de mise en conformité avec le RGPD, et vous aidera à évaluer les risques. Une approximation du volume de données est suffisante, il n’est donc pas nécessaire de se perdre dans les détails.

Le volume de données fournit également des informations précieuses à la direction de l’entreprise sur la répartition du traitement des données entre chaque activité de traitement.

9) Données à caractère personnel

Vous devez dresser la liste de tous les types de données à caractère personnel traitées pour chaque activité. Cela garantira une transparence totale de l’activité de traitement. En outre, ces informations peuvent être utilisées pour remplir votre obligation d’informer les personnes concernées de votre traitement et pour votre évaluation des risques de l’activité.

Voici quelques suggestions concernant les types de données à caractère personnel qui pourraient être ajoutées :

• Prénom
• Nom de famille
• Deuxième prénom
• Genre
• Race ou ethnie
• État civil
• Occupation
• Titre du poste
• Nom de la société
• Adresse électronique au travail
• Numéro de téléphone au travail
• Numéro de téléphone à domicile
• Informations sur les personnes à contacter en cas d’urgence
• Diagnostics médicaux
• Informations sur le traitement médical
• Informations sur les prescriptions
• Données de géolocalisation

Cette transparence vous permettra de mieux savoir où et comment vous traitez les données, et s’il est nécessaire de traiter les données compte tenu de la finalité de l’activité.

10) Les catégories de personnes concernées

Vous devez décrire les catégories de personnes concernées dans les registres des activités de traitement.

Voici quelques exemples de catégories de personnes concernées:

• Enfants de moins de 16 ans.
• Les clients
• Retraités
• Les patients
• Criminels, etc.

Cette information est utile du point de vue du respect des règles, car certaines catégories de personnes concernées doivent faire l’objet d’une plus grande attention lors du traitement de leurs données. Par exemple, le traitement des données d’enfants de moins de 16 ans peut présenter un risque plus élevé et nécessiter une plus grande prise de conscience des implications lorsqu’ils partagent leurs données.

11) Catégories de données à caractère personnel

Vous devez également enregistrer les catégories de données à caractère personnel dans les registres des activités de traitement.

Ces catégories de données à caractère personnel sont les suivantes

• Données personnelles (ou données personnelles générales).
• Catégories particulières de données à caractère personnel
• Données à caractère personnel relatives aux condamnations pénales et aux infractions.

Les catégories particulières de données à caractère personnel sont également appelées données à caractère personnel sensibles et couvrent les catégories suivantes :

• Race et origine ethnique
• Les convictions politiques
• Croyances religieuses ou philosophiques
• Affiliation syndicale
• Données génétiques
• Données biométriques pour une identification unique
• Informations sur la santé
• Relations sexuelles ou orientation sexuelle.

Les données à caractère personnel relatives aux condamnations pénales et aux infractions peuvent être le casier judiciaire d’une personne ou même l’adresse du prisonnier, car l’adresse du domicile est celle de la prison, ce qui implique que la personne a un casier judiciaire.

L’adresse électronique, le numéro de téléphone, l’adresse, le pseudonyme dans les médias sociaux, etc. d’une personne sont des informations personnellement identifiables, mais ces données personnelles ne sont généralement pas sensibles. Ces données sont non sensibles car elles ne sont pas catégorisées comme telles dans l’article 9 du RGPD

Une attention particulière doit être accordée au traitement des données personnelles sensibles. En pratique, il s’agit de veiller à ce que des mesures appropriées soient mises en œuvre conformément à l’article 32.

12) Base juridique du traitement

L’article 30 n’indique pas explicitement que vous devez enregistrer la base juridique du traitement des données à caractère personnel dans les registres des activités de traitement. Toutefois, conformément aux articles 13 et 14, vous devez fournir à la personne concernée des informations sur la base juridique du traitement au moment où les données à caractère personnel sont collectées.

Par conséquent, il est de bonne pratique de consigner la base juridique de vos activités de traitement des données dans vos registres d’activités de traitement. Cela garantit que ces informations sont facilement accessibles pour toutes vos activités de traitement.

En outre, le fait de mentionner la base juridique dans la LdP vous aide à prouver que vous vous conformez au RGPD, ce qui est une exigence en vertu de l’article 5 du RGPD

Vous devez toujours disposer d’une base juridique pour le traitement des données à caractère personnel conformément à l ‘article 6 du RGPD – sinon votre traitement des données à caractère personnel serait illégal. Une entreprise typique pourra utiliser la base juridique suivante pour traiter les données à caractère personnel :

• Article 6, point a), “consentement”.
  • Exemple : Lorsqu’une personne s’inscrit à votre lettre d’information, elle doit donner son accord pour que vous lui envoyiez la lettre d’information par courrier électronique.
• Article 6, point b), “contrat”.
  • Exemple : Lors de la conclusion d’un contrat avec un client, il est souvent nécessaire de traiter des données concernant ce client.
• Article 6, point c), “obligations légales”.
  • Exemple : Pour des raisons comptables, le droit comptable exige que vous traitiez des factures et des documents similaires.
• Article 6, point f), “intérêts légitimes”.
  • Exemple : La surveillance de l’activité web au sein d’une organisation peut constituer un intérêt légitime à des fins de sécurité informatique.

Données personnelles sensibles.

Si vous traitez des données à caractère personnel sensibles, vous devez disposer d’une base juridique pour le traitement en vertu de l’article 9 en plus de l’article 6. Il est donc nécessaire d’avoir une base juridique à la fois dans l’article 6 et dans l’article 9 du RGPD

Cela signifie que vous devriez également ajouter votre base juridique pour le traitement des données personnelles sensibles à vos registres d’activités de traitement lorsque c’est le cas.

Une entreprise classique peut traiter des données à caractère personnel sensibles concernant ses employés si elles sont liées à un problème de santé impliquant l’entreprise, par exemple si un employé est en congé de maladie. Il peut également être utile pour l’organisation d’enregistrer si un employé est membre d’un certain syndicat. Ces exemples de données à caractère personnel sensibles peuvent être traités sur la base juridique de l’article 9, paragraphe 2, point b), car l’employeur doit se conformer à la législation du travail et à ses obligations en matière de sécurité sociale.

13) Lois connexes

Les activités des entreprises sont souvent influencées par diverses lois telles que la réglementation du travail, le droit de la construction, le droit de la consommation, etc. Ces lois peuvent obliger les organisations à traiter les données à caractère personnel de certaines manières, par exemple en maintenant une durée de conservation minimale.

Il serait donc utile d’inclure toute information sur les règlements connexes qui couvrent l’activité de traitement.

14) Source des données

Dans le contexte du RGPD, il est nécessaire de faire la distinction entre l’obtention de données à caractère personnel directement auprès de la personne concernée et d’autres tiers.

Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, vous devez fournir des informations sur le traitement des données à caractère personnel conformément à l’article 13 et, lorsqu’elles sont collectées par d’autres moyens, conformément à l’article 14.

Lorsque les données à caractère personnel n’ont pas été obtenues auprès de la personne concernée, vous êtes tenu d’indiquer la source des données à caractère personnel et, le cas échéant, si elles proviennent de sources accessibles au public.

En consignant ces informations, vous pouvez donc les utiliser comme indicateur des informations que vous devez fournir à la personne concernée lorsque vous obtenez ses données.

Il s’agit d’une liste de contrôle sur la manière de se conformer aux articles 13 et 14 pour toutes vos activités de traitement.

15) Méthodes de collecte des données

Les articles 13 et 14 exigent que vous fournissiez des informations à la personne concernée au moment où vous collectez ses données pour l’activité de traitement. Par conséquent, vous devez contrôler la manière dont vous fournissez ces informations dans la pratique, afin de garantir la conformité dans ces cas.

Par exemple, les données collectées peuvent provenir d’un formulaire de contact sur un site web, lorsqu’un client s’inscrit à la lettre d’information. Elles peuvent également être obtenues lors d’une conversation téléphonique entre un agent du service clientèle et un client qui dépose une plainte.

L’enregistrement des sources de données dans vos registres d’activités de traitement ajoute de la transparence à votre activité de traitement et vous permet de fournir des informations supplémentaires aux personnes concernées, telles qu’un lien vers votre politique de protection de la vie privée.

Le RGPD vous oblige à documenter votre conformité. En conservant une trace des sources utilisées dans les activités de traitement, vous pouvez améliorer votre documentation relative à la conformité au RGPD.

Vous devez également vous assurer que vos systèmes logiciels sont correctement configurés pour fournir des informations à la personne concernée et que le processus de fourniture de ces informations est conforme au RGPD. Par exemple, si le traitement est basé sur le consentement, vous devez être en mesure de démontrer que la personne concernée a donné son consentement au traitement de ses données et que vous lui avez fourni des informations sur le traitement de ses données au moment de la collecte de celles-ci.

16) Comment les informations sont-elles fournies à la personne concernée ?

Il est nécessaire de fournir des informations à la personne concernée lors de la collecte de ses données à caractère personnel et, pour gérer cela efficacement, vous devez préciser comment cela se fait.

Vos activités de traitement auront probablement différentes manières de collecter les données et, par conséquent, différentes manières de fournir les informations nécessaires aux personnes concernées.

Une façon d’informer la personne concernée de cette confirmation lors d’un échange de courriels pourrait être de fournir un lien vers votre politique de confidentialité dans votre signature de courriel. Dans le cadre de l’assistance à la clientèle, il peut s’agir d’un lien vers votre politique de confidentialité dans un module de discussion avant l’initialisation de la discussion.

Il existe de nombreuses autres possibilités, qui dépendent de votre traitement spécifique des données.

L’ajout de ces informations à vos registres des activités de traitement vous aide à documenter la conformité au RGPD.

17) Divulgation de données à caractère personnel

Si vous envisagez de communiquer des données à un autre destinataire, vous devez en informer la personne concernée au plus tard lors de la première communication de données à caractère personnel.

Exemple de divulgation : Un médecin peut être amené à divulguer le dossier médical d’un patient à une compagnie d’assurance ou à la sécurité sociale afin que le patient puisse bénéficier d’une aide.

Des informations sur la divulgation doivent être ajoutées à votre politique de confidentialité si vous divulguez les données à d’autres destinataires, et il serait donc utile de les ajouter aux registres des activités de traitement.

18) Accès des tiers aux données à caractère personnel

Engagez-vous des consultants en marketing, en comptabilité, en informatique, en intelligence artificielle ou des juristes ? Ils pourraient alors avoir accès aux données personnelles de votre entreprise lorsqu’ils fournissent leurs services.

Il s’agit de parties externes car elles ne sont pas employées au sein de votre organisation. Les parties externes ne faisant pas partie de votre organisation, vous devez limiter leur accès aux données personnelles sous votre contrôle. En outre, toute partie externe traitant des données personnelles sous votre contrôle doit recevoir des directives sur la manière de traiter les données personnelles, être formée à ces directives et être tenue responsable par le biais d’un contrat.

Déterminez si les parties externes qui traitent des données à caractère personnel en votre nom sont considérées comme des responsables du traitement des données. Si c’est le cas, vous devrez vous conformer aux règles RGPD qui s’appliquent aux responsables du traitement des données. Vous devrez notamment signer un accord sur le traitement des données.

Les parties externes peuvent également être simplement des contractants qui ont accès aux données à caractère personnel, mais sans que le traitement des données soit l’objectif de leur travail, c’est-à-dire. ils ne seraient pas des responsables du traitement des données. Cela peut être le cas pour des professionnels occasionnels de la réparation de matériel, des informaticiens, des freelances en marketing, des avocats, des comptables, des travailleurs temporaires, etc.

Ces contractants se situent à mi-chemin entre les processeurs de données, les employés et les contrôleurs à part entière. Pour garantir la responsabilité et le respect de vos politiques en matière de traitement des données à caractère personnel, vous pouvez demander au contractant de signer un accord de confidentialité.

Il est important de consigner dans vos dossiers les cas où des parties extérieures ont accès à vos activités de traitement. Cela vous permet d’évaluer les rôles de chaque professionnel impliqué dans les activités de traitement. Ce faisant, vos registres des activités de traitement peuvent devenir un outil de gestion utile pour la conformité au RGPD.

19) Transferts vers des pays tiers

Les pays tiers, en ce qui concerne le RGPD, font référence à tous les pays en dehors de l’UE ou de l’EEE (Norvège, Islande, Liechtenstein).

Les États-Unis, la Chine, l’Inde, l’Australie, le Canada et bien d’autres sont des exemples de pays tiers.

Il y a transfert de données à caractère personnel lorsque celles-ci sont traitées dans des pays tiers. Il peut s’agir d’un accès en lecture, d’un stockage d’informations ou d’une modification d’informations.

De nombreuses solutions logicielles couramment utilisées appartiennent à des entreprises basées aux États-Unis ou utilisent des serveurs hébergés par des entreprises basées aux États-Unis, telles que Amazon Web Services, Microsoft Azure ou Google Cloud, pour traiter leurs données. L’utilisation de ces solutions implique souvent le transfert de données à caractère personnel vers un pays tiers, ce qui indique que ces transferts sont courants.

Lorsque vous transférez des données à caractère personnel vers des pays tiers, vous devez disposer d’une base juridique pour le faire. Il est donc important d’évaluer toutes les activités de traitement pour les transferts vers des pays tiers, y compris les transferts vers des partenaires, des subdivisions, des contractants, des fournisseurs de logiciels, etc. situés dans des pays tiers.

20) Fondement juridique du transfert vers un pays tiers

Si vous avez identifié que vous transférez des données vers des pays tiers, vous devrez déterminer comment vous conformer aux conditions spécifiées dans le chapitre 5 du RGPD. Ces conditions exigent que vous disposiez d’une base juridique pour tout transfert vers des pays tiers.

Le chapitre 5 du RGPD prévoit les bases juridiques suivantes pour les transferts vers des pays tiers :

• Article 45: Transferts fondés sur une décision d’adéquation
• Article 46: Transferts moyennant des garanties appropriées
• Article 47: Règles d’entreprise contraignantes
• Article 48: Transferts ou divulgations non autorisés par le droit de l’Union
• Article 49: Dérogations pour des situations particulières

Il s’agit d’un sujet complexe, mais pour la plupart des petites entreprises, les transferts sont effectués sur la base d’une décision d’adéquation (article 45) ou avec des garanties appropriées (article 46).

21) Limitation du stockage

Lorsque vous documentez vos activités de traitement, vous devez indiquer les“délais envisagés pour l’effacement des différentes catégories de données“. Par conséquent, vous devez inclure ces informations pour toutes vos activités de traitement.

Le RGPD exige également l’effacement des données à caractère personnel lorsqu’elles ne sont plus nécessaires aux fins du traitement, conformément au principe de limitation du stockage énoncé à l’article 5.

Les limites imposées au stockage des données à caractère personnel peuvent représenter un défi pour les entreprises, il est donc important de les aborder avec diligence.

Pour garantir la conformité avec le RGPD dans votre flux de travail quotidien, vous devez également déterminer comment supprimer ces données. Deux aspects sont à prendre en considération :

• Quel événement ou action indique que le traitement de données à caractère personnel n’est plus nécessaire pour une activité de traitement ?
  • Par exemple, lorsqu’un utilisateur annule un abonnement payant.
• Combien de temps conserverez-vous les données à caractère personnel après l’événement déclencheur ?
  • Par exemple, le profil de l’utilisateur sera supprimé immédiatement après l’annulation.

Définition du délai de conservation

Vous êtes tenu d’établir une période de conservation pour les activités de traitement, afin de garantir que les données à caractère personnel ne sont pas conservées lorsque les finalités du traitement ne sont plus valables.

La période de conservation des données à caractère personnel peut être déterminée par différents facteurs, tels que les exigences légales, les lignes directrices du secteur d’activité ou une évaluation appropriée du moment où vous n’avez plus besoin de traiter les données à caractère personnel dans le cadre de votre activité de traitement.

Par exemple, la période de conservation peut être aussi courte que 0 jour ou aussi longue que 5 ans, après quoi vous devrez effacer les données.

Une fois que vous avez déterminé la durée de conservation, la question suivante est de savoir ce qui déclenche le début de la durée de conservation.

Définition des déclencheurs de rétention

Il est important de déterminer le moment où commence le décompte de la période de conservation afin de traiter correctement les données à caractère personnel. Lorsque l’événement déclencheur se produit, l’horloge du délai de conservation doit commencer à tourner.

Exemples:

• Un utilisateur annule un abonnement payant.
• Un abonnement au bulletin d’information est annulé.
• Un rapport annuel est publié.
• Un service a été fourni et achevé pour le client.

Ces événements doivent déclencher vos politiques de suppression pour chacun de ces processus, afin que les données personnelles soient supprimées lorsqu’elles ne sont plus nécessaires.

Documenter la suppression

Pour se conformer au principe de limitation du stockage du RGPD, il est important de supprimer les données personnelles de vos systèmes et de documenter le processus, car la documentation de la conformité est une exigence en soi.

En ajoutant les informations susmentionnées à vos registres des activités de traitement, vous avez progressé dans la documentation de la suppression. Cependant, pour vous conformer pleinement à la réglementation RGPD, vous devez également inclure une procédure de suppression dans votre plan de conformité RGPD.

Une procédure de suppression peut vous aider, vous et vos collègues, à vous assurer que les données sont supprimées de manière permanente et irrécupérable. La procédure doit comprendre une description du processus technique de suppression, du responsable de la suppression, du moment où les données doivent être supprimées, du moment où la suppression a été effectuée et de la méthode utilisée. Cela est particulièrement important lorsque les données sont conservées à plusieurs endroits ou dans plusieurs formats, comme un logiciel de comptabilité ou une feuille Excel.

Vous pouvez soit ajouter un lien vers votre procédure de suppression dans les registres des activités de traitement, soit inclure la description directement dans les registres des activités de traitement.

22) Profilage

Le profilage désigne le traitement automatisé de données à caractère personnel en vue d’analyser ou de prédire les comportements et les préférences d’une personne. Le profilage peut être utilisé, par exemple, par les compagnies d’assurance maladie pour évaluer les risques de santé d’un client, ou par les banques pour évaluer la solvabilité.

Si vous effectuez un profilage de clients, d’employés, etc., l’article 30 exige que vous le consigniez dans les registres des activités de traitement.

23) Décisions automatiques

Si vous prenez des décisions automatisées basées sur le profilage, il est nécessaire de l’indiquer dans vos registres des activités de traitement.

En outre, si vous prenez des décisions automatisées, vous devez inclure cette information dans votre politique de confidentialité. Cela garantit que les personnes concernées sont informées de leur droit “de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé.”

24) Évaluation des risques

Bien que le RGPD ne stipule pas explicitement que vous devez procéder à des évaluations des risques de vos activités de traitement, les articles 24, 25 et 32 vous y obligent indirectement.

Ces articles imposent au responsable du traitement responsable du traitement prendre en compte“les risques, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques” et de responsable du traitement”.

Afin de mettre en œuvre les mesures techniques et organisationnelles appropriées requises, votre entreprise doit évaluer ce que signifie le terme “approprié” dans le contexte de l’activité de traitement spécifique. Pour ce faire, une évaluation des risques de l’activité de traitement sera effectuée.

Les évaluations des risques sont également importantes pour votre conformité au RGPD car elles documentent vos considérations. En tant que telles, elles doivent être incluses dans vos registres des activités de traitement, qui constituent votre outil le plus important pour vous conformer au RGPD.

25) Mesures de sécurité organisationnelles et techniques

L’article 30 vous oblige également à inclure une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.

Cela signifie que pour chaque activité de traitement, vous devez examiner les mesures de sécurité qui garantiraient un niveau de sécurité approprié à la lumière du risque de violation des droits et libertés des personnes concernées.

Vous pouvez ajouter cette description directement dans votre registre des activités de traitement ou établir un lien avec votre politique de sécurité de l’information, qui devrait la couvrir. Il est important de disposer de mesures de sécurité suffisantes pour couvrir chacune de vos activités de traitement.

Nous vous recommandons d’élaborer une politique générale de sécurité de l’information qui couvre l’ensemble de votre organisation. Cette politique doit décrire vos mesures de sécurité générales, telles que l’utilisation de caméras de surveillance, l’accès aux locaux et les logiciels antivirus.

Nous recommandons de créer une politique pour chaque activité de traitement qui décrit les mesures et les procédures de sécurité spécifiques à cette activité. Par exemple, une politique pourrait préciser comment communiquer avec les clients par courrier électronique. Vous pouvez ajouter cette politique directement aux relevés des activités de traitement ou créer une politique distincte et y faire un lien à partir des relevés des activités de traitement.

26) Procédures

Il peut y avoir plusieurs procédures relatives à une activité de traitement, et pour en garder la trace, nous suggérons d’ajouter un lien vers les enregistrements.

Cela fait partie de votre documentation globale sur la conformité et facilitera la gestion.

27) Propriétaire de processus

Pour chaque processus figurant dans vos registres des activités de traitement, vous devez désigner un responsable du processus et ajouter son nom au registre.

Le responsable du processus sera chargé d’introduire des mesures de sécurité appropriées pour l’activité de traitement et de veiller à ce que la documentation soit à jour. Ils ne doivent pas nécessairement être des experts en RGPD, mais doivent travailler en étroite collaboration avec le responsable RGPD de l’entreprise.

Toute modification des processus doit être vérifiée avec le responsable RGPD afin de s’assurer que les nouvelles pratiques et la documentation sont conformes au RGPD.

28) Journal d’audit

Chaque fois que vous apportez des modifications à vos registres des activités de traitement, vous devez indiquer, au minimum, la date de la modification et le nom de la personne responsable des modifications. Ce faisant, vous démontrerez que vous mettez à jour en permanence la documentation relative RGPD, ce qui est nécessaire pour assurer la conformité au RGPD.

En outre, il facilitera le dialogue interne au sein de l’entreprise sur les modifications apportées aux registres des activités de traitement et fournira une documentation en cas de doute.

29) Tâches en suspens

La création de registres des activités de traitement nécessitera la mise en place de nombreux processus, ce qui engendrera des tâches permanentes RGPD.

Pour garder une trace de ces tâches, il est recommandé de les ajouter au dossier avec les activités de traitement spécifiques auxquelles elles se rapportent.

Résumé

Dans cet article, nous avons expliqué en détail comment créer les registres des activités de traitement, de manière à ce qu’ils soient à la fois RGPD et utiles pour votre RGPD. Nous avons ajouté plusieurs sujets aux registres des activités de traitement que nous jugeons nécessaires pour nous RGPD.

Nous espérons que vous reconnaîtrez que l’enregistrement des activités de traitement peut s’avérer utile pour votre RGPD, et absolument nécessaire pour pouvoir gérer les exigences permanentes de votre organisation.