La tenue d’un registre des activit\u00e9s de traitement est obligatoire en vertu de l’article 30 du RGPD.<\/p>\n
Le registre des activit\u00e9s de traitement d\u00e9crit le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel au sein d’une organisation et les d\u00e9tails de ce traitement. Son objectif est de garantir que les organisations sont transparentes et responsables de leurs activit\u00e9s de traitement des donn\u00e9es, et de d\u00e9montrer leur conformit\u00e9 avec le RGPD.<\/p>\n
Le registre sert de r\u00e9f\u00e9rence centrale pour toutes les activit\u00e9s de traitement des donn\u00e9es et doit \u00eatre r\u00e9guli\u00e8rement mis \u00e0 jour afin d’en garantir l’exactitude et l’exhaustivit\u00e9. La tenue d’un registre des activit\u00e9s de traitement est essentielle pour que les organisations remplissent leurs obligations au titre du RGPD et d\u00e9montrent leur conformit\u00e9 aux r\u00e9gulateurs et autres parties prenantes.<\/p>\n
L’article 30 du RGPD exige des organisations qu’elles tiennent un registre des activit\u00e9s de traitement, ce qui est une obligation l\u00e9gale.<\/p>\n
Le registre des activit\u00e9s de traitement sert d’outil de gestion pour la protection des donn\u00e9es en fournissant une vue d’ensemble du traitement. Lorsque le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel est mis en correspondance avec cet enregistrement, cela permet de se conformer \u00e0 d’autres exigences du RGPD, telles que la mise en \u0153uvre de mesures techniques et organisationnelles appropri\u00e9es pour assurer un niveau de s\u00e9curit\u00e9 adapt\u00e9 au risque, comme l’exige l’article 32.<\/p>\n
Le dossier deviendra l’outil de gestion permettant d’aligner les efforts de l’organisation sur sa conformit\u00e9 au RGPD.<\/p>\n
L’article 30, paragraphe 4, exempte les organisations employant moins de 250 personnes de l’obligation de tenir un registre des activit\u00e9s de traitement, mais uniquement si leur traitement de donn\u00e9es \u00e0 caract\u00e8re personnel ne fait pas l’objet d’un enregistrement :<\/p>\n
Dans la pratique, ces exemptions sont rarement pertinentes puisque les l\u00e9gislateurs consid\u00e8rent la gestion des salaires ou le traitement des donn\u00e9es des clients comme des traitements non occasionnels de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n
La plupart des entreprises ont des clients, des employ\u00e9s ou des visiteurs sur leur site web, ce qui rend l’exemption difficile \u00e0 utiliser dans la pratique, car m\u00eame une soci\u00e9t\u00e9 holding peut avoir un site web.<\/p>\n
En outre, cette exemption ne dispense pas une organisation de se conformer aux autres exigences du RGPD. Le registre des activit\u00e9s de traitement \u00e9tant un excellent outil pour se conformer aux r\u00e8gles du RGPD, l’absence d’un tel registre irait \u00e0 l’encontre des efforts d\u00e9ploy\u00e9s par une organisation pour se mettre en conformit\u00e9 avec le RGPD.<\/p>\n
Pour \u00eatre clair, vous devez tenir un registre des activit\u00e9s de traitement. Il est peu probable que vous soyez exempt\u00e9 de cette obligation, et la tenue d’un registre est \u00e9galement n\u00e9cessaire pour se conformer aux autres r\u00e8gles du RGPD.<\/p>\n
Une organisation, qu’il s’agisse d’un responsable du traitement ou d’un sous-traitant<\/a>, doit tenir un registre de ses activit\u00e9s de traitement. Ces documents doivent \u00eatre consign\u00e9s par \u00e9crit et mis \u00e0 la disposition de l’autorit\u00e9 de contr\u00f4le sur demande.<\/p>\n Les deux sections suivantes d\u00e9crivent les exigences en mati\u00e8re d’enregistrement des activit\u00e9s de traitement pour les responsables du traitement des donn\u00e9es et les sous-traitants, respectivement.<\/p>\n L’article 30, paragraphe 1, du RGPD<\/a> \u00e9nonce les exigences minimales concernant les informations qui doivent figurer dans vos registres des activit\u00e9s de traitement lorsque vous agissez en tant que responsable du traitement.<\/p>\n Ces exigences minimales sont les suivantes :<\/p>\n Un sous-traitant doit tenir un registre des activit\u00e9s de traitement qu’il effectue pour le compte du responsable du traitement. Ces exigences diff\u00e8rent l\u00e9g\u00e8rement de celles du responsable du traitement et sont \u00e9nonc\u00e9es \u00e0 l’article 30, paragraphe 2, du RGPD<\/p>\n Les exigences relatives \u00e0 l’enregistrement des activit\u00e9s de traitement sont les suivantes pour les responsables du traitement des donn\u00e9es :<\/p>\n Lorsque nous \u00e9voquerons les registres des activit\u00e9s de traitement, nous nous r\u00e9f\u00e9rerons principalement aux registres des activit\u00e9s de traitement du responsable du traitement.<\/p>\n Pour rendre la conformit\u00e9 au RGPD plus facile \u00e0 g\u00e9rer, nous vous recommandons d’ajouter des cat\u00e9gories suppl\u00e9mentaires \u00e0 vos registres d’activit\u00e9s de traitement. Bien que l’article 30 \u00e9nonce certaines r\u00e8gles en mati\u00e8re de conformit\u00e9 et de documentation, le RGPD contient beaucoup plus d’exigences. Le registre des activit\u00e9s de traitement est un excellent outil pour documenter le respect de toutes ces r\u00e8gles.<\/p>\n L’extension du registre des activit\u00e9s de traitement \u00e0 d’autres sujets de conformit\u00e9 peut vous aider \u00e0 mieux mettre en \u0153uvre le RGPD et \u00e0 documenter votre conformit\u00e9. M\u00eame si cela peut sembler plus compliqu\u00e9 au d\u00e9part, vous gagnerez du temps \u00e0 long terme.<\/p>\n L’une des complexit\u00e9s de la conformit\u00e9 au RGPD est l’obligation de documenter la conformit\u00e9 \u00e0 toutes les r\u00e8gles. Cela peut sembler une t\u00e2che impossible pour les petites entreprises, mais en adaptant les registres des activit\u00e9s de traitement, vous pouvez g\u00e9rer plus efficacement la documentation relative \u00e0 votre conformit\u00e9.<\/p>\n Nous recommandons de tenir un registre des activit\u00e9s de traitement qui couvre toutes les sections suivantes.<\/p>\n La premi\u00e8re \u00e9tape de la cr\u00e9ation de vos registres des activit\u00e9s de traitement consiste \u00e0 r\u00e9pertorier et \u00e0 d\u00e9finir toutes vos activit\u00e9s de traitement. Vous devez tout d’abord d\u00e9crire tous les processus de votre entreprise dans lesquels des donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es.<\/p>\n Vous devez d\u00e9finir et nommer vos activit\u00e9s de traitement de mani\u00e8re \u00e0 ce qu’elles soient significatives d’un point de vue commercial et qu’elles puissent \u00eatre distingu\u00e9es d’autres activit\u00e9s de traitement, afin de ne pas les m\u00e9langer.<\/p>\n Par exemple, une activit\u00e9 de traitement peut \u00eatre le \u00ab\u00a0soutien \u00e0 la client\u00e8le\u00a0\u00bb ou la \u00ab\u00a0prospection commerciale\u00a0\u00bb. \u00c9tant donn\u00e9 que ces activit\u00e9s sont distinctes l’une de l’autre et qu’elles sont effectu\u00e9es par des employ\u00e9s diff\u00e9rents au sein d’\u00e9quipes diff\u00e9rentes, il est logique, d’un point de vue commercial, de les documenter en tant que deux activit\u00e9s de traitement distinctes.<\/p>\n L’activit\u00e9 de traitement \u00ab\u00a0assistance \u00e0 la client\u00e8le\u00a0\u00bb implique le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel de clients existants, tandis que l’activit\u00e9 \u00ab\u00a0prospection commerciale\u00a0\u00bb implique le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel en vue d’acqu\u00e9rir de nouveaux clients.<\/p>\n Ils servent \u00e9galement des objectifs diff\u00e9rents et ont des fondements juridiques diff\u00e9rents.<\/p>\n Une entreprise typique de 50 employ\u00e9s peut avoir jusqu’\u00e0 30 activit\u00e9s de traitement, tandis qu’une entreprise de 1 500 employ\u00e9s peut en avoir jusqu’\u00e0 100. La d\u00e9finition des activit\u00e9s de traitement peut varier et est en partie subjective, car les entreprises ont des besoins individuels.<\/p>\n D\u00e9finir les activit\u00e9s de traitement de mani\u00e8re pertinente est le fondement de la conformit\u00e9 au RGPD. La documentation RGPD s’appuiera sur ces activit\u00e9s, qui devraient \u00eatre le principal moteur de la mise en \u0153uvre du RGPD dans votre organisation pour couvrir l’ensemble de vos processus. Plus de d\u00e9tails \u00e0 ce sujet peuvent \u00eatre trouv\u00e9s ailleurs.<\/p>\n Certaines activit\u00e9s de traitement sont li\u00e9es car elles peuvent concerner le m\u00eame sujet g\u00e9n\u00e9ral. Par exemple, l’\u00e9quipe des ressources humaines peut avoir les activit\u00e9s de traitement suivantes :<\/p>\n Il est logique que ces activit\u00e9s de traitement soient s\u00e9par\u00e9es dans vos registres d’activit\u00e9s de traitement et qu’elles ne soient pas regroup\u00e9es en une seule grande activit\u00e9 de traitement appel\u00e9e \u00ab\u00a0RH\u00a0\u00bb.<\/p>\n Les finalit\u00e9s du traitement des candidatures \u00e0 un poste vacant et du licenciement d’un salari\u00e9 sont clairement distinctes et il serait absurde d’essayer de les traiter de la m\u00eame mani\u00e8re.<\/p>\n Cependant, il est toujours judicieux de les classer dans la cat\u00e9gorie g\u00e9n\u00e9rale \u00ab\u00a0RH\u00a0\u00bb, car l’\u00e9quipe RH est en fin de compte l’\u00e9quipe responsable de ces processus au sein de votre organisation.<\/p>\n Il est donc logique d’ajouter une cat\u00e9gorie d’entreprise pertinente \u00e0 vos registres d’activit\u00e9s de traitement, par exemple:<\/p>\n En pratique, le responsable de chacune de ces cat\u00e9gories d’entreprises serait charg\u00e9 de d\u00e9finir les activit\u00e9s de traitement au sein de son \u00e9quipe et de se conformer au RGPD pour ces processus.<\/p>\n D\u00e9l\u00e9guer cette responsabilit\u00e9 aux chefs d’\u00e9quipe et aux employ\u00e9s est en fait une partie tr\u00e8s importante de la mise en conformit\u00e9 avec le RGPD dans la pratique, et c’est quelque chose que beaucoup d’entreprises ne font pas.<\/p>\n Nous vous recommandons de d\u00e9crire chacune des activit\u00e9s de traitement de la mani\u00e8re la plus d\u00e9taill\u00e9e possible, en vous concentrant sur le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel. Cette description vous aidera \u00e0 clarifier votre d\u00e9finition de l’activit\u00e9 de traitement et \u00e0 la distinguer d’autres activit\u00e9s de traitement.<\/p>\n La description vous servira \u00e9galement lorsque vous devrez revenir pour mettre \u00e0 jour cet enregistrement d’activit\u00e9 de traitement. En outre, il sera utile \u00e0 toute personne lisant vos enregistrements d’activit\u00e9s de traitement sans avoir d\u00e9fini l’activit\u00e9 elle-m\u00eame, par exemple votre PDG ou les parties prenantes de l’organisation.<\/p>\n Comme nous l’avons mentionn\u00e9 au d\u00e9but, les exigences relatives \u00e0 la tenue d’un registre des activit\u00e9s de traitement diff\u00e8rent selon que vous \u00eates un responsable du traitement des responsable du traitement ou un sous-traitant. Par cons\u00e9quent, vous devez indiquer si vous \u00eates un responsable du traitement des responsable du traitement ou un sous-traitant chaque activit\u00e9 de traitement. Cela vous aidera \u00e0 identifier vos obligations pour les diff\u00e9rentes activit\u00e9s lorsque vous consulterez les registres des activit\u00e9s de traitement.<\/p>\n Par exemple, lorsque vous traitez des donn\u00e9es \u00e0 caract\u00e8re personnel en tant que sous-traitant, vous devez suivre les proc\u00e9dures du responsable du traitement, car vous traitez simplement des donn\u00e9es \u00e0 caract\u00e8re personnel en son nom. Si vous pensez traiter des donn\u00e9es \u00e0 caract\u00e8re personnel pour le compte de quelqu’un d’autre, nous vous conseillons de vous renseigner sur le \u00ab\u00a0 sous-traitant donn\u00e9es<\/a>\u00ab\u00a0.<\/p>\n D\u00e9finir la finalit\u00e9 de vos activit\u00e9s de traitement n’est pas seulement une exigence, mais peut \u00e9galement vous aider \u00e0 vous mettre en conformit\u00e9 avec le RGPD. Conform\u00e9ment aux articles 12 \u00e0 14, les finalit\u00e9s de vos activit\u00e9s de traitement doivent \u00eatre communiqu\u00e9es aux personnes concern\u00e9es lorsque vous collectez leurs donn\u00e9es, et ces finalit\u00e9s doivent donc \u00e9galement figurer dans votre politique de protection de la vie priv\u00e9e.<\/p>\n La d\u00e9finition des finalit\u00e9s des activit\u00e9s de traitement peut sembler r\u00e9p\u00e9titive, car certains de ces processus sont similaires et peuvent se chevaucher l\u00e9g\u00e8rement.<\/p>\n Si vous d\u00e9finissez les finalit\u00e9s de deux activit\u00e9s de traitement et que vous constatez qu’elles sont tr\u00e8s similaires, cela peut indiquer que vous devez les combiner en une seule activit\u00e9. Toutefois, ce n’est pas une obligation.<\/p>\n Exemple : Assistance \u00e0 la client\u00e8le<\/strong><\/p>\n Si l’on examine la finalit\u00e9 du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel pour l'\u00a0\u00bbassistance \u00e0 la client\u00e8le\u00a0\u00bb, il est clair que vous avez besoin de donn\u00e9es \u00e0 caract\u00e8re personnel de base pour leur fournir l’assistance requise. Vous devrez identifier le client et son historique d’achat. Dans ce cas, la finalit\u00e9 du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel des clients serait la suivante ;<\/p>\n Vous devez \u00e9galement vous demander si vous traitez des donn\u00e9es \u00e0 caract\u00e8re personnel \u00e0 des fins autres que celles d’origine. Si vous avez l’intention de traiter les donn\u00e9es ult\u00e9rieurement, vous devez en informer la personne concern\u00e9e lors de la collecte des donn\u00e9es \u00e0 caract\u00e8re personnel, conform\u00e9ment \u00e0 l’article 13, paragraphe 3.<\/p>\n Le RGPD exige que vous traitiez les donn\u00e9es personnelles de mani\u00e8re appropri\u00e9e. Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel implique g\u00e9n\u00e9ralement l’utilisation d’un logiciel, qu’il s’agisse de votre propre logiciel, d’un logiciel externe ou d’un fournisseur de services.<\/p>\n Par cons\u00e9quent, nous vous sugg\u00e9rons d’ajouter des informations sur le lieu de traitement de vos donn\u00e9es \u00e0 vos relev\u00e9s d’activit\u00e9s de traitement.<\/p>\n Pour chaque activit\u00e9 de traitement, vous devez sp\u00e9cifier les actifs informationnels utilis\u00e9s pour traiter l’information.<\/p>\n Nous utilisons le terme \u00ab\u00a0actifs informationnels\u00a0\u00bb pour d\u00e9signer les actifs qui contiennent des informations, telles que les donn\u00e9es \u00e0 caract\u00e8re personnel. Cela comprend les syst\u00e8mes logiciels, les sites web, les feuilles Excel, les unit\u00e9s de stockage de donn\u00e9es, les syst\u00e8mes de fichiers, les lecteurs, les clients de messagerie, les archives et les autres actifs utilis\u00e9s pour traiter l’information.<\/p>\n Certains actifs informationnels peuvent \u00eatre des logiciels en tant que service (SaaS), ce qui signifie que les informations sont trait\u00e9es par des parties externes. Cela signifie souvent que ces parties externes sont des responsables du traitement des donn\u00e9es, mais nous devons v\u00e9rifier dans tous les cas pour le confirmer.<\/p>\n Certaines activit\u00e9s de traitement sont souvent confi\u00e9es \u00e0 des consultants externes, tels que des comptables ou des agences de marketing. Ces personnes sont consid\u00e9r\u00e9es comme des sous-traitants car elles effectuent le traitement pour le compte du responsable du traitement.<\/p>\n Il est important de d\u00e9terminer si des sous-traitants sont impliqu\u00e9s dans les activit\u00e9s de traitement afin de s’assurer que le traitement des donn\u00e9es est conforme au RGPD lorsqu’il est effectu\u00e9 en votre nom.<\/p>\n La cartographie de vos actifs informationnels et de vos processeurs de donn\u00e9es peut aider votre entreprise \u00e0 comprendre les flux de donn\u00e9es au sein des syst\u00e8mes et \u00e0 assurer une gestion appropri\u00e9e. Cette cartographie fournit \u00e9galement une vue organis\u00e9e des contrats et des fournisseurs, ce qui peut am\u00e9liorer la gestion des achats et des contrats.<\/p>\n Pour toutes les activit\u00e9s de traitement des donn\u00e9es, il est important de noter le nombre de personnes dont les donn\u00e9es sont trait\u00e9es et d’ajouter ces informations \u00e0 votre registre des activit\u00e9s de traitement. Cela clarifiera l’importance et la priorit\u00e9 de l’activit\u00e9 dans vos efforts de mise en conformit\u00e9 avec le RGPD, et vous aidera \u00e0 \u00e9valuer les risques. Une approximation du volume de donn\u00e9es est suffisante, il n’est donc pas n\u00e9cessaire de se perdre dans les d\u00e9tails.<\/p>\n Le volume de donn\u00e9es fournit \u00e9galement des informations pr\u00e9cieuses \u00e0 la direction de l’entreprise sur la r\u00e9partition du traitement des donn\u00e9es entre chaque activit\u00e9 de traitement.<\/p>\n Vous devez dresser la liste de tous les types de donn\u00e9es \u00e0 caract\u00e8re personnel trait\u00e9es pour chaque activit\u00e9. Cela garantira une transparence totale de l’activit\u00e9 de traitement. En outre, ces informations peuvent \u00eatre utilis\u00e9es pour remplir votre obligation d’informer les personnes concern\u00e9es de votre traitement et pour votre \u00e9valuation des risques de l’activit\u00e9.<\/p>\n Voici quelques suggestions concernant les types de donn\u00e9es \u00e0 caract\u00e8re personnel qui pourraient \u00eatre ajout\u00e9es :<\/p>\n Cette transparence vous permettra de mieux savoir o\u00f9 et comment vous traitez les donn\u00e9es, et s’il est n\u00e9cessaire de traiter les donn\u00e9es compte tenu de la finalit\u00e9 de l’activit\u00e9.<\/p>\n Vous devez d\u00e9crire les cat\u00e9gories de personnes concern\u00e9es dans les registres des activit\u00e9s de traitement.<\/p>\n Voici quelques exemples de cat\u00e9gories de personnes concern\u00e9es:<\/p>\n Cette information est utile du point de vue du respect des r\u00e8gles, car certaines cat\u00e9gories de personnes concern\u00e9es doivent faire l’objet d’une plus grande attention lors du traitement de leurs donn\u00e9es. Par exemple, le traitement des donn\u00e9es d’enfants de moins de 16 ans peut pr\u00e9senter un risque plus \u00e9lev\u00e9 et n\u00e9cessiter une plus grande prise de conscience des implications lorsqu’ils partagent leurs donn\u00e9es.<\/p>\n Vous devez \u00e9galement enregistrer les cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel dans les registres des activit\u00e9s de traitement.<\/p>\n Ces cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel sont les suivantes<\/p>\n Les cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel sont \u00e9galement appel\u00e9es donn\u00e9es \u00e0 caract\u00e8re personnel sensibles et couvrent les cat\u00e9gories suivantes :<\/p>\n Les donn\u00e9es \u00e0 caract\u00e8re personnel relatives aux condamnations p\u00e9nales et aux infractions peuvent \u00eatre le casier judiciaire d’une personne ou m\u00eame l’adresse du prisonnier, car l’adresse du domicile est celle de la prison, ce qui implique que la personne a un casier judiciaire.<\/p>\n L’adresse \u00e9lectronique, le num\u00e9ro de t\u00e9l\u00e9phone, l’adresse, le pseudonyme dans les m\u00e9dias sociaux, etc. d’une personne sont des informations personnellement identifiables, mais ces donn\u00e9es personnelles ne sont g\u00e9n\u00e9ralement pas sensibles. Ces donn\u00e9es sont non sensibles car elles ne sont pas cat\u00e9goris\u00e9es comme telles dans l’article 9 du RGPD<\/a><\/p>\n Une attention particuli\u00e8re doit \u00eatre accord\u00e9e au traitement des donn\u00e9es personnelles sensibles. En pratique, il s’agit de veiller \u00e0 ce que des mesures appropri\u00e9es soient mises en \u0153uvre conform\u00e9ment \u00e0 l’article 32<\/a>.<\/p>\n L’article 30 n’indique pas explicitement que vous devez enregistrer la base juridique du traitement des donn\u00e9es \u00e0 caract\u00e8re personnel dans les registres des activit\u00e9s de traitement. Toutefois, conform\u00e9ment aux articles 13 et 14, vous devez fournir \u00e0 la personne concern\u00e9e des informations sur la base juridique du traitement au moment o\u00f9 les donn\u00e9es \u00e0 caract\u00e8re personnel sont collect\u00e9es.<\/p>\n Par cons\u00e9quent, il est de bonne pratique de consigner la base juridique de vos activit\u00e9s de traitement des donn\u00e9es dans vos registres d’activit\u00e9s de traitement. Cela garantit que ces informations sont facilement accessibles pour toutes vos activit\u00e9s de traitement.<\/p>\n En outre, le fait de mentionner la base juridique dans la LdP vous aide \u00e0 prouver que vous vous conformez au RGPD, ce qui est une exigence en vertu de l’article 5 du RGPD<\/a><\/p>\n Vous devez toujours disposer d’une base juridique pour le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel conform\u00e9ment \u00e0 l ‘article 6 du RGPD<\/a> – sinon votre traitement des donn\u00e9es \u00e0 caract\u00e8re personnel serait ill\u00e9gal. Une entreprise typique pourra utiliser la base juridique suivante pour traiter les donn\u00e9es \u00e0 caract\u00e8re personnel :<\/p>\n Si vous traitez des donn\u00e9es \u00e0 caract\u00e8re personnel sensibles, vous devez disposer d’une base juridique pour le traitement en vertu de l’article 9 en plus de l’article 6. Il est donc n\u00e9cessaire d’avoir une base juridique \u00e0 la fois dans l’article 6 et dans l’article 9 du RGPD<\/p>\n Cela signifie que vous devriez \u00e9galement ajouter votre base juridique pour le traitement des donn\u00e9es personnelles sensibles \u00e0 vos registres d’activit\u00e9s de traitement lorsque c’est le cas.<\/p>\n Une entreprise classique peut traiter des donn\u00e9es \u00e0 caract\u00e8re personnel sensibles concernant ses employ\u00e9s si elles sont li\u00e9es \u00e0 un probl\u00e8me de sant\u00e9 impliquant l’entreprise, par exemple si un employ\u00e9 est en cong\u00e9 de maladie. Il peut \u00e9galement \u00eatre utile pour l’organisation d’enregistrer si un employ\u00e9 est membre d’un certain syndicat. Ces exemples de donn\u00e9es \u00e0 caract\u00e8re personnel sensibles peuvent \u00eatre trait\u00e9s sur la base juridique de l’article 9, paragraphe 2, point b), car l’employeur doit se conformer \u00e0 la l\u00e9gislation du travail et \u00e0 ses obligations en mati\u00e8re de s\u00e9curit\u00e9 sociale.<\/p>\n Les activit\u00e9s des entreprises sont souvent influenc\u00e9es par diverses lois telles que la r\u00e9glementation du travail, le droit de la construction, le droit de la consommation, etc. Ces lois peuvent obliger les organisations \u00e0 traiter les donn\u00e9es \u00e0 caract\u00e8re personnel de certaines mani\u00e8res, par exemple en maintenant une dur\u00e9e de conservation minimale.<\/p>\n Il serait donc utile d’inclure toute information sur les r\u00e8glements connexes qui couvrent l’activit\u00e9 de traitement.<\/p>\n Dans le contexte du RGPD, il est n\u00e9cessaire de faire la distinction entre l’obtention de donn\u00e9es \u00e0 caract\u00e8re personnel directement aupr\u00e8s de la personne concern\u00e9e et d’autres tiers.<\/p>\n Lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel sont collect\u00e9es aupr\u00e8s de la personne concern\u00e9e, vous devez fournir des informations sur le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel conform\u00e9ment \u00e0 l’article 13 et, lorsqu’elles sont collect\u00e9es par d’autres moyens, conform\u00e9ment \u00e0 l’article 14.<\/p>\n Lorsque les donn\u00e9es \u00e0 caract\u00e8re personnel n’ont pas \u00e9t\u00e9 obtenues aupr\u00e8s de la personne concern\u00e9e, vous \u00eates tenu d’indiquer la source des donn\u00e9es \u00e0 caract\u00e8re personnel et, le cas \u00e9ch\u00e9ant, si elles proviennent de sources accessibles au public.<\/p>\n En consignant ces informations, vous pouvez donc les utiliser comme indicateur des informations que vous devez fournir \u00e0 la personne concern\u00e9e lorsque vous obtenez ses donn\u00e9es.<\/p>\n Il s’agit d’une liste de contr\u00f4le sur la mani\u00e8re de se conformer aux articles 13 et 14 pour toutes vos activit\u00e9s de traitement.<\/p>\n Les articles 13 et 14 exigent que vous fournissiez des informations \u00e0 la personne concern\u00e9e au moment o\u00f9 vous collectez ses donn\u00e9es pour l’activit\u00e9 de traitement. Par cons\u00e9quent, vous devez contr\u00f4ler la mani\u00e8re dont vous fournissez ces informations dans la pratique, afin de garantir la conformit\u00e9 dans ces cas.<\/p>\n Par exemple, les donn\u00e9es collect\u00e9es peuvent provenir d’un formulaire de contact sur un site web, lorsqu’un client s’inscrit \u00e0 la lettre d’information. Elles peuvent \u00e9galement \u00eatre obtenues lors d’une conversation t\u00e9l\u00e9phonique entre un agent du service client\u00e8le et un client qui d\u00e9pose une plainte.<\/p>\n L’enregistrement des sources de donn\u00e9es dans vos registres d’activit\u00e9s de traitement ajoute de la transparence \u00e0 votre activit\u00e9 de traitement et vous permet de fournir des informations suppl\u00e9mentaires aux personnes concern\u00e9es, telles qu’un lien vers votre politique de protection de la vie priv\u00e9e.<\/p>\n Le RGPD vous oblige \u00e0 documenter votre conformit\u00e9. En conservant une trace des sources utilis\u00e9es dans les activit\u00e9s de traitement, vous pouvez am\u00e9liorer votre documentation relative \u00e0 la conformit\u00e9 au RGPD.<\/p>\n Vous devez \u00e9galement vous assurer que vos syst\u00e8mes logiciels sont correctement configur\u00e9s pour fournir des informations \u00e0 la personne concern\u00e9e et que le processus de fourniture de ces informations est conforme au RGPD. Par exemple, si le traitement est bas\u00e9 sur le consentement, vous devez \u00eatre en mesure de d\u00e9montrer que la personne concern\u00e9e a donn\u00e9 son consentement au traitement de ses donn\u00e9es et que vous lui avez fourni des informations sur le traitement de ses donn\u00e9es au moment de la collecte de celles-ci.<\/p>\n Il est n\u00e9cessaire de fournir des informations \u00e0 la personne concern\u00e9e lors de la collecte de ses donn\u00e9es \u00e0 caract\u00e8re personnel et, pour g\u00e9rer cela efficacement, vous devez pr\u00e9ciser comment cela se fait.<\/p>\n Vos activit\u00e9s de traitement auront probablement diff\u00e9rentes mani\u00e8res de collecter les donn\u00e9es et, par cons\u00e9quent, diff\u00e9rentes mani\u00e8res de fournir les informations n\u00e9cessaires aux personnes concern\u00e9es.<\/p>\n Une fa\u00e7on d’informer la personne concern\u00e9e de cette confirmation lors d’un \u00e9change de courriels pourrait \u00eatre de fournir un lien vers votre politique de confidentialit\u00e9 dans votre signature de courriel. Dans le cadre de l’assistance \u00e0 la client\u00e8le, il peut s’agir d’un lien vers votre politique de confidentialit\u00e9 dans un module de discussion avant l’initialisation de la discussion.<\/p>\n Il existe de nombreuses autres possibilit\u00e9s, qui d\u00e9pendent de votre traitement sp\u00e9cifique des donn\u00e9es.<\/p>\n L’ajout de ces informations \u00e0 vos registres des activit\u00e9s de traitement vous aide \u00e0 documenter la conformit\u00e9 au RGPD.<\/p>\n Si vous envisagez de communiquer des donn\u00e9es \u00e0 un autre destinataire, vous devez en informer la personne concern\u00e9e au plus tard lors de la premi\u00e8re communication de donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n Exemple de divulgation :<\/strong> Un m\u00e9decin peut \u00eatre amen\u00e9 \u00e0 divulguer le dossier m\u00e9dical d’un patient \u00e0 une compagnie d’assurance ou \u00e0 la s\u00e9curit\u00e9 sociale afin que le patient puisse b\u00e9n\u00e9ficier d’une aide.<\/p>\n Des informations sur la divulgation doivent \u00eatre ajout\u00e9es \u00e0 votre politique de confidentialit\u00e9 si vous divulguez les donn\u00e9es \u00e0 d’autres destinataires, et il serait donc utile de les ajouter aux registres des activit\u00e9s de traitement.<\/p>\n Engagez-vous des consultants en marketing, en comptabilit\u00e9, en informatique, en intelligence artificielle ou des juristes ? Ils pourraient alors avoir acc\u00e8s aux donn\u00e9es personnelles de votre entreprise lorsqu’ils fournissent leurs services.<\/p>\n Il s’agit de parties externes car elles ne sont pas employ\u00e9es au sein de votre organisation. Les parties externes ne faisant pas partie de votre organisation, vous devez limiter leur acc\u00e8s aux donn\u00e9es personnelles sous votre contr\u00f4le. En outre, toute partie externe traitant des donn\u00e9es personnelles sous votre contr\u00f4le doit recevoir des directives sur la mani\u00e8re de traiter les donn\u00e9es personnelles, \u00eatre form\u00e9e \u00e0 ces directives et \u00eatre tenue responsable par le biais d’un contrat.<\/p>\n D\u00e9terminez si les parties externes qui traitent des donn\u00e9es \u00e0 caract\u00e8re personnel en votre nom sont consid\u00e9r\u00e9es comme des responsables du traitement des donn\u00e9es. Si c’est le cas, vous devrez vous conformer aux r\u00e8gles RGPD qui s’appliquent aux responsables du traitement des donn\u00e9es. Vous devrez notamment signer un accord sur le traitement des donn\u00e9es.<\/p>\n Les parties externes peuvent \u00e9galement \u00eatre simplement des contractants qui ont acc\u00e8s aux donn\u00e9es \u00e0 caract\u00e8re personnel, mais sans que le traitement des donn\u00e9es soit l’objectif de leur travail, c’est-\u00e0-dire. ils ne seraient pas des responsables du traitement des donn\u00e9es. Cela peut \u00eatre le cas pour des professionnels occasionnels de la r\u00e9paration de mat\u00e9riel, des informaticiens, des freelances en marketing, des avocats, des comptables, des travailleurs temporaires, etc.<\/p>\n Ces contractants se situent \u00e0 mi-chemin entre les processeurs de donn\u00e9es, les employ\u00e9s et les contr\u00f4leurs \u00e0 part enti\u00e8re. Pour garantir la responsabilit\u00e9 et le respect de vos politiques en mati\u00e8re de traitement des donn\u00e9es \u00e0 caract\u00e8re personnel, vous pouvez demander au contractant de signer un accord de confidentialit\u00e9.<\/p>\n Il est important de consigner dans vos dossiers les cas o\u00f9 des parties ext\u00e9rieures ont acc\u00e8s \u00e0 vos activit\u00e9s de traitement. Cela vous permet d’\u00e9valuer les r\u00f4les de chaque professionnel impliqu\u00e9 dans les activit\u00e9s de traitement. Ce faisant, vos registres des activit\u00e9s de traitement peuvent devenir un outil de gestion utile pour la conformit\u00e9 au RGPD.<\/p>\n Les pays tiers, en ce qui concerne le RGPD, font r\u00e9f\u00e9rence \u00e0 tous les pays en dehors de l’UE ou de l’EEE (Norv\u00e8ge, Islande, Liechtenstein).<\/p>\n Les \u00c9tats-Unis, la Chine, l’Inde, l’Australie, le Canada et bien d’autres sont des exemples de pays tiers.<\/p>\n Il y a transfert de donn\u00e9es \u00e0 caract\u00e8re personnel lorsque celles-ci sont trait\u00e9es dans des pays tiers. Il peut s’agir d’un acc\u00e8s en lecture, d’un stockage d’informations ou d’une modification d’informations.<\/p>\n De nombreuses solutions logicielles couramment utilis\u00e9es appartiennent \u00e0 des entreprises bas\u00e9es aux \u00c9tats-Unis ou utilisent des serveurs h\u00e9berg\u00e9s par des entreprises bas\u00e9es aux \u00c9tats-Unis, telles que Amazon Web Services, Microsoft Azure ou Google Cloud, pour traiter leurs donn\u00e9es. L’utilisation de ces solutions implique souvent le transfert de donn\u00e9es \u00e0 caract\u00e8re personnel vers un pays tiers, ce qui indique que ces transferts sont courants.<\/p>\n Lorsque vous transf\u00e9rez des donn\u00e9es \u00e0 caract\u00e8re personnel vers des pays tiers, vous devez disposer d’une base juridique pour le faire. Il est donc important d’\u00e9valuer toutes les activit\u00e9s de traitement pour les transferts vers des pays tiers, y compris les transferts vers des partenaires, des subdivisions, des contractants, des fournisseurs de logiciels, etc. situ\u00e9s dans des pays tiers.<\/p>\n Si vous avez identifi\u00e9 que vous transf\u00e9rez des donn\u00e9es vers des pays tiers, vous devrez d\u00e9terminer comment vous conformer aux conditions sp\u00e9cifi\u00e9es dans le chapitre 5 du RGPD. Ces conditions exigent que vous disposiez d’une base juridique pour tout transfert vers des pays tiers.<\/p>\n Le chapitre 5 du RGPD pr\u00e9voit les bases juridiques suivantes pour les transferts vers des pays tiers :<\/p>\n Il s’agit d’un sujet complexe, mais pour la plupart des petites entreprises, les transferts sont effectu\u00e9s sur la base d’une d\u00e9cision d’ad\u00e9quation (article 45) ou avec des garanties appropri\u00e9es (article 46).<\/p>\n Lorsque vous documentez vos activit\u00e9s de traitement, vous devez indiquer les\u00ab\u00a0d\u00e9lais envisag\u00e9s pour l’effacement des diff\u00e9rentes cat\u00e9gories de donn\u00e9es<\/em>\u00ab\u00a0. Par cons\u00e9quent, vous devez inclure ces informations pour toutes vos activit\u00e9s de traitement.<\/p>\n Le RGPD exige \u00e9galement l’effacement des donn\u00e9es \u00e0 caract\u00e8re personnel lorsqu’elles ne sont plus n\u00e9cessaires aux fins du traitement, conform\u00e9ment au principe de limitation du stockage \u00e9nonc\u00e9 \u00e0 l’article 5.<\/p>\n Les limites impos\u00e9es au stockage des donn\u00e9es \u00e0 caract\u00e8re personnel peuvent repr\u00e9senter un d\u00e9fi pour les entreprises, il est donc important de les aborder avec diligence.<\/p>\n Pour garantir la conformit\u00e9 avec le RGPD dans votre flux de travail quotidien, vous devez \u00e9galement d\u00e9terminer comment supprimer ces donn\u00e9es. Deux aspects sont \u00e0 prendre en consid\u00e9ration :<\/p>\n D\u00e9finition du d\u00e9lai de conservation<\/strong><\/p>\n Vous \u00eates tenu d’\u00e9tablir une p\u00e9riode de conservation pour les activit\u00e9s de traitement, afin de garantir que les donn\u00e9es \u00e0 caract\u00e8re personnel ne sont pas conserv\u00e9es lorsque les finalit\u00e9s du traitement ne sont plus valables.<\/p>\n La p\u00e9riode de conservation des donn\u00e9es \u00e0 caract\u00e8re personnel peut \u00eatre d\u00e9termin\u00e9e par diff\u00e9rents facteurs, tels que les exigences l\u00e9gales, les lignes directrices du secteur d’activit\u00e9 ou une \u00e9valuation appropri\u00e9e du moment o\u00f9 vous n’avez plus besoin de traiter les donn\u00e9es \u00e0 caract\u00e8re personnel dans le cadre de votre activit\u00e9 de traitement.<\/p>\n Par exemple, la p\u00e9riode de conservation peut \u00eatre aussi courte que 0 jour ou aussi longue que 5 ans, apr\u00e8s quoi vous devrez effacer les donn\u00e9es.<\/p>\n Une fois que vous avez d\u00e9termin\u00e9 la dur\u00e9e de conservation, la question suivante est de savoir ce qui d\u00e9clenche le d\u00e9but de la dur\u00e9e de conservation.<\/p>\n D\u00e9finition des d\u00e9clencheurs de r\u00e9tention<\/strong><\/p>\n Il est important de d\u00e9terminer le moment o\u00f9 commence le d\u00e9compte de la p\u00e9riode de conservation afin de traiter correctement les donn\u00e9es \u00e0 caract\u00e8re personnel. Lorsque l’\u00e9v\u00e9nement d\u00e9clencheur se produit, l’horloge du d\u00e9lai de conservation doit commencer \u00e0 tourner.<\/p>\n Exemples:<\/p>\n Ces \u00e9v\u00e9nements doivent d\u00e9clencher vos politiques de suppression pour chacun de ces processus, afin que les donn\u00e9es personnelles soient supprim\u00e9es lorsqu’elles ne sont plus n\u00e9cessaires.<\/p>\n Documenter la suppression<\/strong><\/p>\n Pour se conformer au principe de limitation du stockage du RGPD, il est important de supprimer les donn\u00e9es personnelles de vos syst\u00e8mes et de documenter le processus, car la documentation de la conformit\u00e9 est une exigence en soi.<\/p>\n En ajoutant les informations susmentionn\u00e9es \u00e0 vos registres des activit\u00e9s de traitement, vous avez progress\u00e9 dans la documentation de la suppression. Cependant, pour vous conformer pleinement \u00e0 la r\u00e9glementation RGPD, vous devez \u00e9galement inclure une proc\u00e9dure de suppression dans votre plan de conformit\u00e9 RGPD.<\/p>\n Une proc\u00e9dure de suppression peut vous aider, vous et vos coll\u00e8gues, \u00e0 vous assurer que les donn\u00e9es sont supprim\u00e9es de mani\u00e8re permanente et irr\u00e9cup\u00e9rable. La proc\u00e9dure doit comprendre une description du processus technique de suppression, du responsable de la suppression, du moment o\u00f9 les donn\u00e9es doivent \u00eatre supprim\u00e9es, du moment o\u00f9 la suppression a \u00e9t\u00e9 effectu\u00e9e et de la m\u00e9thode utilis\u00e9e. Cela est particuli\u00e8rement important lorsque les donn\u00e9es sont conserv\u00e9es \u00e0 plusieurs endroits ou dans plusieurs formats, comme un logiciel de comptabilit\u00e9 ou une feuille Excel.<\/p>\n Vous pouvez soit ajouter un lien vers votre proc\u00e9dure de suppression dans les registres des activit\u00e9s de traitement, soit inclure la description directement dans les registres des activit\u00e9s de traitement.<\/p>\n Le profilage d\u00e9signe le traitement automatis\u00e9 de donn\u00e9es \u00e0 caract\u00e8re personnel en vue d’analyser ou de pr\u00e9dire les comportements et les pr\u00e9f\u00e9rences d’une personne. Le profilage peut \u00eatre utilis\u00e9, par exemple, par les compagnies d’assurance maladie pour \u00e9valuer les risques de sant\u00e9 d’un client, ou par les banques pour \u00e9valuer la solvabilit\u00e9.<\/p>\n Si vous effectuez un profilage de clients, d’employ\u00e9s, etc., l’article 30 exige que vous le consigniez dans les registres des activit\u00e9s de traitement.<\/p>\n Si vous prenez des d\u00e9cisions automatis\u00e9es bas\u00e9es sur le profilage, il est n\u00e9cessaire de l’indiquer dans vos registres des activit\u00e9s de traitement.<\/p>\n En outre, si vous prenez des d\u00e9cisions automatis\u00e9es, vous devez inclure cette information dans votre politique de confidentialit\u00e9<\/a>. Cela garantit que les personnes concern\u00e9es sont inform\u00e9es de leur droit \u00ab\u00a0de ne pas faire l’objet d’une d\u00e9cision fond\u00e9e exclusivement sur un traitement automatis\u00e9.<\/em><\/a>\u00a0\u00bb<\/p>\n Bien que le RGPD ne stipule pas explicitement que vous devez proc\u00e9der \u00e0 des \u00e9valuations des risques de vos activit\u00e9s de traitement, les articles 24, 25 et 32 vous y obligent indirectement.<\/p>\n Ces articles imposent au responsable du traitement<\/em> responsable du traitement prendre en compte\u00ab\u00a0les risques, dont la probabilit\u00e9 et la gravit\u00e9 varient, pour les droits et libert\u00e9s des personnes physiques<\/em>\u00a0\u00bb et de responsable du traitement\u00a0\u00bb.<\/p>\n Afin de mettre en \u0153uvre les mesures techniques et organisationnelles appropri\u00e9es requises, votre entreprise doit \u00e9valuer ce que signifie le terme \u00ab\u00a0appropri\u00e9\u00a0\u00bb dans le contexte de l’activit\u00e9 de traitement sp\u00e9cifique. Pour ce faire, une \u00e9valuation des risques de l’activit\u00e9 de traitement sera effectu\u00e9e.<\/p>\n Les \u00e9valuations des risques sont \u00e9galement importantes pour votre conformit\u00e9 au RGPD car elles documentent vos consid\u00e9rations. En tant que telles, elles doivent \u00eatre incluses dans vos registres des activit\u00e9s de traitement, qui constituent votre outil le plus important pour vous conformer au RGPD.<\/p>\nContr\u00f4leur de donn\u00e9es: Les registres des activit\u00e9s de traitement<\/h3>\n
\n
Responsable du traitement des donn\u00e9es : Les registres des activit\u00e9s de traitement<\/h3>\n
\n
Registres des activit\u00e9s de traitement et des ajouts<\/h2>\n
1) Activit\u00e9s de traitement<\/h3>\n
2) L’\u00e9quipe<\/h3>\n
\n
\n
3) Description de l’activit\u00e9 de traitement<\/h3>\n
4) Contr\u00f4leur ou responsable du traitement des donn\u00e9es<\/h3>\n
5) Finalit\u00e9 du traitement<\/h3>\n
\n
6) Autres objectifs<\/h3>\n
7) Actifs informationnels et responsables du traitement des donn\u00e9es<\/h3>\n
8) Volume des donn\u00e9es<\/h3>\n
9) Donn\u00e9es \u00e0 caract\u00e8re personnel<\/h3>\n
\n
10) Les cat\u00e9gories de personnes concern\u00e9es<\/h3>\n
\n
11) Cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel<\/h3>\n
\n
\n
12) Base juridique du traitement<\/h3>\n
\n
\n
\n
\n
\n
Donn\u00e9es personnelles sensibles.<\/strong><\/h4>\n
13) Lois connexes<\/h3>\n
14) Source des donn\u00e9es<\/h3>\n
15) M\u00e9thodes de collecte des donn\u00e9es<\/h3>\n
16) Comment les informations sont-elles fournies \u00e0 la personne concern\u00e9e ?<\/h3>\n
17) Divulgation de donn\u00e9es \u00e0 caract\u00e8re personnel<\/h3>\n
18) Acc\u00e8s des tiers aux donn\u00e9es \u00e0 caract\u00e8re personnel<\/h3>\n
19) Transferts vers des pays tiers<\/h3>\n
20) Fondement juridique du transfert vers un pays tiers<\/h3>\n
\n
21) Limitation du stockage<\/h3>\n
\n
\n
\n
\n
22) Profilage<\/h3>\n
23) D\u00e9cisions automatiques<\/h3>\n
24) \u00c9valuation des risques<\/h3>\n
25) Mesures de s\u00e9curit\u00e9 organisationnelles et techniques<\/h3>\n