GDPR (7) Registre des activités de traitement des données à caractère personnel

8 septembre 2017

Dans cette édition, nous nous penchons de plus près sur le contenu du registre des activités de traitement des données à caractère personnel. Il est recommandé à tous les responsables de tenir un tel registre, bien que pour les petites organisations, cela ne soit pas toujours obligatoire au sens strict.

La première étape consiste en une simple liste des données à caractère personnel des personnes avec lesquelles votre entreprise ou organisation travaille. La Commission de la protection de la vie privée explique quelles sont les exigences de ce registre, et les articule autour de six questions simples : Qui ? Pourquoi ? Quoi ? Où ? Jusqu’à quand ? Comment ? Vous trouverez sur leur site un bref résumé, une note circonstanciée et même, depuis peu, un modèle de registre à télécharger. Voyons ce qu’il en est de ces six questions.

Qui ?

Votre registre stipule avant tout qui est le responsable. Il faut donc indiquer les coordonnées correctes de votre entreprise ou organisation, ainsi que le nom et les coordonnées de votre Data Protection Officer ou, à défaut, de la personne à contacter en cas de questions, problèmes, plaintes ou fuites de données.

Dans les grandes organisations, il est utile de spécifier quel département ou quelle personne est responsable de chaque ensemble distinct de données à caractère personnel. Ce responsable sera en effet le point de contact pour aider à compléter les autres points du registre.

Pourquoi ?

Il est primordial de savoir quelle est la finalité de l’utilisation des données à caractère personnel. Le principe de base de toute législation relative à la protection de la vie privée, et surtout du GDPR est de ne récolter et traiter des informations que si c’est absolument nécessaire pour la finalité établie. Par exemple, vous avez évidemment besoin des coordonnées pour communiquer avec vos clients et vos fournisseurs. Et pour les activités commerciales et de marketing de votre entreprise, il vous faut collecter des noms et des adresses. Il est en outre souhaitable d’enrichir ces données de base avec des informations supplémentaires, comme la répartition géographique des clients ou leur secteur d’activité.

La Commission de la protection de la vie privée souligne que l’objectif doit être aussi concret que possible, et doit démontrer clairement la nécessité de traiter ces informations. Une liste indicative de types de finalités est jointe à leur note.

Il est également utile de s’arrêter un instant sur la base juridique dont dispose votre organisation pour traiter ces données à caractère personnel, bien que cela ne doive pas impérativement figurer dans le registre. Dans certains cas, la base juridique donnera lieu à des obligations spécifiques ou des procédures à suivre. Le fait d’ajouter immédiatement cette indication dans le registre vous facilitera la vie lorsque vous voudrez contrôler par la suite que vous respectez bien toutes les obligations légales.

Quoi ?

Pour chaque finalité, vous définissez ensuite de quelles catégories de personnes les données à caractère personnel traitées relèvent : clients, travailleurs, visiteurs… Indiquez d’emblée les nombres approximatifs concernés, car cela peut vous donner une idée de l’impact en cas de fuite de données.

Ajoutez ensuite quelles sont les informations conservées et utilisées à propos de ces personnes : s’agit-il uniquement des noms et adresses ou également d’informations sur l’âge, le sexe, la fonction, les centres d’intérêt, etc. ? L’explication de la Commission de la protection de la vie privée donne en annexe une liste des catégories possibles.

Il est crucial de mentionner explicitement si certaines informations relèvent de catégories particulières (cfr. le deuxième article de notre blog), pour lesquelles des règles et des limitations spécifiques sont applicables. Cela vaut également pour les informations ne relevant pas de ces catégories particulières, mais qui sont malgré tout considérées comme sensibles, comme les informations financières ou les données relatives aux mineurs.

Où ?

Pour chaque finalité identifiée, le registre doit énumérer où vont les informations. Il peut s’agir de personnes physiques, mais aussi d’organismes publics ou d’un centre de traitement des données interne ou externe. Tous les destinataires sont mentionnés.

Il est important de spécifier si ces informations sont exclusivement traitées au sein de l’Espace Économique Européen. Si ce n’est pas le cas, il faut disposer de garanties quant à la protection adéquates des données à caractère personnel et quant au fait que les personnes concernées jouissent des mêmes droits et protections. Cela doit être démontré dans le registre.

Jusqu’à quand ?

Comme ces données ne peuvent être utilisées que pour la finalité envisagée, il va sans dire qu’elles ne peuvent être conservées plus longtemps que nécessaire. La Commission de la protection de la vie privée précise que les délais de conservation ne doivent pas toujours être exprimés par un nombre de jours, de mois ou d’années. Une formulation telle que « le délai de conservation prévu par la loi » est également possible.

Comment protégeons-nous les données ?

Dans le cadre du GDPR, vous êtes responsable de la protection des données à caractère personnel traitées. Vous devez prendre toutes les mesures nécessaires pour éviter que leur confidentialité ou leur intégrité ne soit menacée. Elles ne peuvent pas être rendues publiques de manière injustifiée, transmises à des destinataires erronés ou modifiées injustement.

Si vous avez correctement et minutieusement complété ce registre, vous disposez d’une bonne base pour démontrer que vous gérez le traitement des données à caractère personnel de façon adéquate, et que vous prenez cette responsabilité au sérieux. C’est le point de départ pour, ensuite, élaborer vos procédures internes et contrôler leur bonne application. Enfin, ce registre constituera une aide précieuse lors de la rédaction d’une déclaration relative à la protection de la vie privée.

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse  gdpr@groupjoos.com

LOADING