Avec le nouveau règlement général sur la protection des données (RGPD), les entreprises qui traitent des données devront s’assurer qu’elles disposent d’enregistrements détaillés de ce qu’elles font avec les données.

L‘article 30 stipule : « Chaque responsable du traitement et, le cas échéant, son représentant, tient un registre des activités de traitement relevant de sa responsabilité ».

Les Le GDPR mettra fin à toute distinction entre les enregistrements internes et externes. Il n’y a plus qu’un seul type de registre – le registre interne – qui doit être mis à la disposition des autorités de contrôle à leur demande.

Dans des cas extrêmes, si votre organisation ne respecte pas les exigences du GDPR, elle risque une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Contrôleur ou processeur

Contrôleur ou responsable du traitement des données

Si c’est votre organisation qui décide de la finalité de la collecte des données ou de la manière dont elles sont collectées, vous êtes un responsable du traitement des données.

En revanche, si vous effectuez le traitement pour le compte d’une autre organisation, vous êtes alors un sous-traitant. Il est probable que votre organisation soit à la fois responsable du traitement et sous-traitant.

Le nouveau règlement GDPR comporte un ensemble d’exigences strictes à respecter, tant pour les responsables du traitement des données que pour les sous-traitants. Il stipule que vous devez enregistrer :
1) les détails de votre organisation et les coordonnées de votre délégué à la protection des données. En outre, si votre entreprise n’est pas située dans l’UE, vous devez fournir les coordonnées de votre représentant désigné dans l’UE
2) Une description des mesures de sécurité que vous avez mises en place pour protéger les données. Il s’agit à la fois de mesures de sécurité technique, telles que le cryptage, et de sécurité organisationnelle, par exemple des restrictions internes concernant l’accès à certaines parties du réseau
3) Pour les transferts de données en dehors de l’EEE, les organisations devront documenter le lieu où les données sont transférées et les mesures de protection mises en place pour protéger ces données.

Article 30 – Qu’est-ce que cela signifie pour le contrôleur ?

Si votre rôle est d’agir en tant que responsable du traitement, il vous incombe de déterminer la finalité du traitement des données.

Vous devrez également consigner les types de personnes avec lesquelles vous travaillez et les types de données avec lesquelles vous travaillez, qui varieront inévitablement en fonction de la nature de votre activité.

Si vous êtes responsable du traitement, vous devrez également consigner les types de destinataires auxquels vous divulguerez les données. Il incombe également au responsable du traitement de documenter la durée pendant laquelle vous prévoyez de conserver chaque catégorie de données avant qu’elles ne soient effacées.

Article 30 – Qu’est-ce que cela signifie pour le transformateur ?

Si vous êtes le responsable du traitement, vous devrez vous occuper de la documentation des données. Vous devrez enregistrer :
– les noms et les coordonnées du responsable du traitement pour lequel vous traitez des données
– les coordonnées du DPD du responsable du traitement (s’il en a un) et de son représentant s’il n’est pas basé dans l’UE.

Cela ne semble pas trop contraignant, mais vous devez garder à l’esprit que le sous-traitant moyen, par exemple une agence de marketing, traite des données pour le compte de nombreux clients. Ces informations doivent également être enregistrées pour chaque responsable du traitement au nom duquel le sous-traitant traite des données.

En outre, les sous-traitants doivent documenter les différentes catégories de traitement effectuées pour le compte de chaque responsable du traitement. Le GDPR définit le traitement comme suit : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Avec autant de variables, vous pouvez voir comment ce problème peut devenir rapidement complexe.

Que devez-vous savoir de plus sur l’article 30 ?

Que devez-vous savoir de plus sur l'article 30 ?

Nombreux sont ceux qui ne sont pas préparés à ce niveau de conformité en matière de protection des données. Ils devront rapidement adopter des lignes directrices matures en matière de protection de la vie privée, capables de contrôler les activités de traitement au sein de plusieurs départements, entreprises et marchés.

Vous devez tenir un registre de tous les traitements de données, que les données soient ou non sous forme écrite ou électronique, et le mettre à la disposition de votre autorité de contrôle locale lorsqu’elle en fait la demande.

Préparation de l’article 30

Les fonctions commerciales pertinentes et les activités de traitement des données de tiers doivent être identifiées et un registre des données personnelles doit être créé. Vos politiques et avis en matière de protection de la vie privée doivent être mis à jour et le personnel interne doit être sensibilisé au GDPR dans le cadre de ses fonctions spécifiques.

Dans un contexte plus large, le cœur du GDPR réside dans l’accent mis sur la responsabilité. Une chaîne de responsabilité doit être établie au niveau du département, de l’entreprise et de l’organisation afin de maintenir un traitement cohérent des incidents, des processus opérationnels et des activités de reporting. Vous pouvez en savoir plus sur l’importance de la responsabilité dans notre blog précédent  ici.

Si vous souhaitez obtenir une aide supplémentaire pour votre projet GDPR, vous pouvez nous rendre visite lors de l’une de nos étapes dans le cadre de notre roadshow GDPR pour les nuls, qui viendra bientôt dans une ville près de chez vous. Inscrivez-vous aux petits-déjeuners d’information gratuits  ici.

Nous avons également créé MetaPrivacy, une solution GDPR spécialement conçue pour aider votre entreprise à gérer l’article 30. Pour plus d’informations sur MetaPrivacy et nos autres ressources GDPR, visitez le site  ici.