GDPR (6) Inventaire des données à caractère personnel et registre obligatoire

28 août 2017

Pour se conformer au GDPR, le meilleur point de départ consiste à dresser un bon inventaire des données à caractère personnel que votre société ou organisation utilise et tient à jour. Peut-être devez-vous également transposer ces informations dans un registre formel des traitements. Il peut être difficile de déterminer si ce registre est obligatoire dans votre cas. Cet article vise donc à apporter des précisions à ce sujet.

Inventaire des données à caractère personnel

Pour dresser l’inventaire de leurs données à caractère personnel, les grandes organisations ont recours à des logiciels spécialisés. Mais un simple tableur peut suffire, s’il contient les informations nécessaires. Vous en saurez déjà davantage en discutant avec vos différents services :

  • Quelles sont les données à caractère personnel qu’ils recueillent ou utilisent (quelles catégories, quels types de personnes, combien de personnes concernées) ?
  • Comment les données sont-elles traitées (que fait-on avec celles-ci) et dans quel objectif ?
  • Avec quels fournisseurs, partenaires ou autres tiers sont-elles partagées ?
  • Arrive-t-il que les données soient transférées hors de l’UE ?

Vous devez ensuite vous poser la question de savoir si l’objectif de l’utilisation de ces informations se justifie au regard du droit à la protection de la vie privée des personnes concernées. Enfin, vérifiez les menaces qui pèsent sur la confidentialité et l’intégrité des données, ainsi que les mesures mises en place pour les protéger. Tout responsable du traitement de données à caractère personnel doit se poser ces questions.

Le résultat de cet exercice fournit immédiatement la plupart des informations dont vous avez besoin pour constituer un registre des traitements, une nouvelle obligation du GDPR.

Registre des traitements des données à caractère personnel

La loi actuelle sur la protection de la vie privée prévoit une obligation de déclaration des traitements automatisés à l’autorité de surveillance. En Belgique, il s’agit de la Commission pour la Protection de la Vie Privée (CPVP), généralement dénommée « Commission Vie Privée ». Ces informations sont reprises dans un registre public que chacun peut consulter. Mais les utilisations les plus courantes des données à caractère personnel en sont exemptées, par exemple la gestion du personnel, l’administration des salaires et la comptabilité, la gestion des clients et des fournisseurs, les données de contact (sans informations complémentaires), les listes de membres d’associations, l’administration des étudiants… En conséquence, la plupart des organisations ne sont pas tenues de faire une déclaration.

Mais cela changera avec le GDPR : le responsable du traitement composera lui-même le registre. Ce registre devra être numérique et pouvoir être présenté rapidement et aisément en cas d’audit de la Commission Vie Privée ou dans le cadre d’une enquête découlant d’une plainte ou d’une fuite de données. Il devra démontrer que le Responsable dispose d’un aperçu clair des données à caractère personnel dont il assure le traitement. Ce dernier prouve ainsi qu’il a réfléchi à son droit d’effectuer ces traitements et qu’il protège les informations efficacement.

Autre différence avec la loi sur la protection de la vie privée actuelle : le GDPR ne se limite pas au traitement automatisé de données et ne fait plus d’exception pour les « données à caractère personnel couramment utilisées ».

Obligation de registre : qui est concerné ?

Jusque dans une certaine mesure, les petites entreprises sont exemptées de l’obligation de registre, mais le GDPR n’est pas très précis à ce sujet. C’est pourquoi la Commission Vie Privée a récemment (le 14 juillet 2017) publié une recommandation détaillée dont nous synthétisons les points essentiels dans cet article.

  • Chaque Responsable (et chaque sous-traitant, mais nous aborderons ce point en détail plus tard), peu importe qu’il s’agisse d’une entreprise, d’un organisme public, d’une association ou d’une personne physique, doit tenir à jour un registre des traitements.
  • Toutefois, on fait une exception pour les structures comptant moins de 250 travailleurs (et générant un chiffre d’affaires inférieur à 50 millions d’euros). À vrai dire, cette position ne cadre pas avec l’esprit de la législation, puisque toutes les mesures doivent découler de l’analyse des risques. Or le traitement de données à caractère personnel au sein d’une petite structure peut comporter autant voire davantage de risques. C’est pourquoi l’obligation de registre reste tout de même applicable dans toute une série de cas complémentaires, y compris pour les PME.
  • Vous ne pouvez pas vous soustraire à l’obligation de registre si :
    • vous traitez des catégories particulières de données à caractère personnel ou les données de personnes spécialement vulnérables (tels que les enfants);
    • le traitement présente des risques pour les droits et les libertés des individus et peut donc entraîner des dommages corporels, matériels ou immatériels. La recommandation propose une série d’exemples : s’il y a un risque de violation de la confidentialité d’informations financières ou de données protégées par le secret professionnel ; s’il y a un risque de vol ou d’usurpation d’identité ; si des données concernant la santé, la personnalité, le comportement, les déplacements, etc. sont utilisées pour l’établissement de profils personnels ;
    • la personne concernée n’a pas la possibilité d’exercer ses droits personnels et n’a donc aucun contrôle ;
    • un responsable traite les données de manière non pas occasionnelle, mais structurelle, c’est-à-dire que le traitement d’informations ne se fait pas par hasard ou une seule fois, mais de manière habituelle. À titre d’exemple, la note mentionne des informations sur les clients, les fournisseurs et les travailleurs.

En résumé, on constate que les limites sont difficiles à établir. Car chaque organisation dispose de certaines données qui, en cas de violation de leur caractère confidentiel, peuvent occasionner des dommages, et toutes les organisations conservent des données de manière structurelle. La Commission Vie Privée conseille dès lors à toutes les entreprises et à tous les organismes de tenir un registre, les PME pouvant le réduire aux données traitées structurellement. Dans une petite structure, l’exercice reste donc relativement limité.

Dans le prochain article du blog, nous aborderons le détail de ce registre et les informations qui doivent y figurer pour chaque traitement.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING