Les 10 principes du GDPR. #4: Tenir des registres pour les activités de traitement

Cette nouvelle obligation qui pèse sur les entreprises, aux termes de l’article 30 du GDPR, implique d’avoir une vue complète de toutes les activités de traitement exécutées au sein d’une organisation, mais aussi de les documenter en conséquence. Les organisations devront adopter une démarche dynamique et collaborative.

Qu’entraîne cette nouvelle obligation pour les responsables de traitement des données ?

Il incombera à chaque responsable de traitement de tenir des registres pour les activités de traitement exécutées au sein de son organisation. Ces registres (qui doivent être produits en versions papier et électronique) doit contenir l’ensemble des informations suivantes :

• les noms et coordonnées du responsable de traitement ainsi que, le cas échéant, ceux du bureau chargé de la protection des données;

• les finalités du traitement;

• un descriptif des catégories de personnes concernées et des catégories de données à caractère personnel;

• les catégories de destinataires auxquels les données à caractère personnel ont été ou seront divulguées, y compris ceux établis dans des pays tiers ou au sein d’organisations internationales;

• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, notamment les documents attestant de l’existence de protections suffisantes;

• les délais de suppression des différentes catégories de données envisagées; et

• une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre.
  

Veuillez noter que l’obligation ne s’applique pas aux entreprises de moins de 250 salariés, sauf si le traitement est de nature très risquée, notamment en cas de traitement de catégories de données à caractère personnel spécial telles que les données ethniques ou relatives à la santé, ou des données concernant un comportement criminel.

Par ailleurs, le responsable du traitement des données ou le sous-traitant (voir le paragraphe suivant) doit tenir les registres à la disposition de l’autorité de contrôle, à la demande de celle-ci.

Qu’en est-il des sous-traitants ? 

Le GDPR impose généralement une plus grande responsabilité au responsable de traitement ainsi qu’aux sous-traitants de données concernés. Cette obligation s’applique par conséquent également aux sous-traitants. Chacun d’entre eux devra tenir des registres de tous les types d’activités de traitement exécutés pour le compte d’un responsable de traitement. Ces registres devront contenir les informations suivantes:

• les noms et coordonnées du ou des sous-traitant(s) et de chaque responsable de traitement des données pour le compte duquel il(s) agi(ssen)t et, le cas échéant, du délégué à la protection des données;

• les types de traitement réalisés pour le compte de chaque responsable de traitement;

• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, notamment les documents attestant de l’existence de protections suffisantes; et

• une description générale des dispositifs de sécurité techniques et structurels mis en œuvre.
  

Mesures opérationnelles et techniques 

L’organisation des registres contenant toutes les activités de traitement des données réalisées dans votre entreprise pourrait s’avérer délicate, en particulier lorsqu’elles sont réparties entre divers départements ou unités opérationnelles. Comment ce flux d'information peut-il être coordonné ? Où les enregistrements doivent-ils être stockés et, plus important encore, comment ces enregistrements doivent-ils être maintenus et mis à jour? Vous trouverez ci-dessous quelques astuces et conseils pratiques.

1. Faire participer l’entreprise

Etant donné que les activités de traitement de données sont exécutées à tous les échelons de votre entreprise, il est essentiel d’identifier les parties prenantes qui jouent un rôle dès le début du développement ou de la conception d’un produit, d’un processus, d’un système, d’une application ou encore d’un projet. Ce sont elles qui connaissent le mieux les activités de traitement des données. Elles vous seront donc particulièrement utiles pour vous aider à concevoir et conserver une vue d’ensemble. Faites participer les collaborateurs de l’entreprise lorsque votre organisation commence à réfléchir au processus sous-jacent nécessaire pour créer ces registres. Expliquez-leur les avantages et la valeur ajoutée que votre entreprise peut en retirer.

2. Concevoir (et uniformiser) un processus établissant clairement les rôles et les responsabilités de chacun

Une fois que vous avez fait participer vos parties prenantes, déterminez le processus d’obtention et de vérification du registre, ainsi que son mode d’ajout à un fichier central et de mise à jour. Gardez à l’esprit qu’une grande partie des informations demandées auront déjà été obtenues du fait de la réalisation d’analyses d’impact relatives à la protection des données (Privacy Impact Assessments - PIA). S’il existe un processus de soutien, évaluez dans quelle mesure il peut être adapté au nouveau processus. Cela permettra de coordonner les efforts requis et d’éviter à l’entreprise de devoir fournir deux fois les informations nécessaires.

Assurez-vous également de définir clairement les rôles et les responsabilités de chacun lors du développement du processus. Pensez aux responsabilités concernant la collecte des informations requises, y compris les informations dans un registre centralisé et la mise à jour des informations dans le registre, le cas échéant.

N’oubliez pas d’impliquer également les autres compétences, telles que le service informatique, le service de conformité, celui des achats et le service juridique qui pourraient largement bénéficier de ces informations. Envisagez les contrats dans le cadre du processus d’achat si des sous-traitants interviennent (ou sont sur le point de le faire). Les informations seront très utiles pour conclure des accords de traitement des données.

3. Créer un fichier central des registres

Les registres tenus doivent être conservés sur un support centralisé. En fonction de l’infrastructure propre à votre organisation, étudiez comment soutenir le processus fondamental. Il est préférable de ne pas se « réfugier » dans les fichiers Excel, bien qu’ils semblent faciles d’utilisation, mais de recourir plutôt à un outil approprié. Ainsi, un système centralisé vous permettra d’avoir une vue complète des activités de traitement réalisées au sein de l’entreprise. Bien sûr, dans ce scénario, chacun doit connaître les mesures techniques adéquates, notamment les droits d’accès et d’autorisation (tout le monde ne pouvant pas être autorisé à modifier ou à altérer les informations). Le marché des outils de protection de la vie privée connaît une croissance rapide et il est bon de réfléchir aux exigences et possibilités techniques au sein de votre entreprise.

Cette obligation est-elle un poids ou pourrait-elle devenir un précieux atout pour votre entreprise ?

Les obligations en vertu du GDPR requerront des efforts considérables. L’aspect organisationnel impliquera un grand nombre de services dans l’entreprise, mais nécessitera aussi l’intervention d’experts de la protection de la vie privée. Il faudra du temps pour convaincre votre entreprise que, outre le fait qu’il s’agisse d’une obligation dont le non-respect pourrait entraîner une amende pouvant s’élever à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial, ces registres représentent une véritable valeur ajoutée. Le développement du processus mais aussi l’étude et la mise en œuvre des mesures techniques prendront du temps. N’oubliez par ailleurs pas de garder une trace des activités de traitement existantes : les nouvelles activités doivent être consignées, mais aussi celles réalisées actuellement (peut-être depuis des années).

Ceci dit, vous avez également à y gagner. Les registres vous donnent un aperçu de toutes les activités de traitement des données au sein de votre entreprise et vous permettent par conséquent de contrôler quels types de catégories de données sont traités, par qui (quels départements ou quelles unités opérationnelles) et à quelles fins. Ces informations vous permettront d’établir des connexions en interne, de vous joindre à des initiatives ou des projets ayant des objectifs et/ou des défis similaires ou équivalents. Cela vous offrira aussi la possibilité de renforcer votre contrôle sur les activités de traitement des données. Cela vous permettra enfin de mieux comprendre les risques et les mesures d’atténuation requises, ce qui stimulera forcément votre organisation à aller plus loin de manière ordonnée avec les données à caractère personnel disponibles.