Avec le nouveau règlement général sur la protection des données (RGPD), les entreprises qui traitent des données devront s'assurer qu'elles disposent de registres détaillés sur ce qu'elles font avec les données.
L'article 30 dit : "Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement, tient un registre des activités de traitement sous sa responsabilité."
Le GDPR mettra fin à toute distinction entre les enregistrements internes et externes. Il n'existe désormais qu'un seul type de registre - le registre interne - qui doit être mis à la disposition des autorités de contrôle à leur demande.
Dans des cas extrêmes, le non-respect des exigences du GDPR pourrait exposer votre organisation à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Contrôleur ou processeur
Si votre organisation est celle qui décide de la finalité de la collecte des données ou de la manière dont elles sont collectées, vous êtes un responsable du traitement des données.
En revanche, si vous effectuez le traitement pour le compte d'une autre organisation, vous êtes un sous-traitant de données. Il est probable que votre organisation soit à la fois un responsable du traitement et un sous-traitant.
Le nouveau règlement GDPR a un ensemble d'exigences strictes à suivre pour les contrôleurs de données et les processeurs de données. Il stipule que vous devez enregistrer :
1) les détails de votre organisation et les coordonnées de votre délégué à la protection des données. En outre, si votre entreprise n'est pas située dans l'UE, vous devez fournir les coordonnées de votre représentant désigné dans l'UE
2) Une description des mesures de sécurité que vous avez mises en place pour protéger les données. Cela comprend à la fois les mesures de sécurité techniques, telles que le cryptage, et la sécurité organisationnelle, par exemple les restrictions internes concernant l'accès à certaines parties du réseau
3) Pour les transferts de données en dehors de l'EEE, les organisations devront documenter l'endroit où les données sont transférées et les garanties en place pour protéger ces données.
Article 30 - Qu'est-ce que cela signifie pour le contrôleur ?
Si votre rôle est d'agir en tant que responsable du traitement, il vous incombe de déterminer la finalité du traitement des données.
Vous devrez également enregistrer les types de personnes dont les données sont utilisées, ainsi que les types de données avec lesquelles vous travaillez, ce qui variera inévitablement en fonction de la nature de votre activité.
Si vous êtes un responsable du traitement, vous devrez également consigner les types de destinataires auxquels vous divulguerez des données. Il incombe également au responsable du traitement de documenter la durée pendant laquelle vous prévoyez de conserver chaque catégorie de données avant de les effacer.
Article 30 - Qu'est-ce que cela signifie pour le processeur ?
Si vous êtes le sous-traitant, vous allez devoir vous occuper de la documentation des données. Vous devrez enregistrer :
- Les noms et coordonnées du responsable du traitement pour lequel vous traitez les données
- Les coordonnées du DPD du responsable du traitement (s'il en a un) et de son représentant s'il n'est pas basé dans l'UE.
Cela peut sembler peu contraignant, mais vous devez garder à l'esprit que le sous-traitant moyen, par exemple une agence de marketing, traite des données pour le compte de nombreux clients. Ces détails doivent également être enregistrés pour chaque responsable du traitement pour le compte duquel le sous-traitant traite des données.
En outre, les sous-traitants doivent documenter les différentes catégories de traitement effectuées pour le compte de chaque contrôleur. Le GDPR définit le traitement comme : "toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel ou à des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction."
Avec autant de variables, vous pouvez voir comment cela peut devenir un problème complexe assez rapidement.
Que devez-vous savoir d'autre sur l'article 30 ?
Beaucoup ne sont pas préparés à ce niveau de conformité en matière de protection des données. Ils devront rapidement adopter des directives matures en matière de protection de la vie privée, capables de contrôler les activités de traitement dans plusieurs départements, entreprises et marchés.
Vous devez disposer d'un registre de tous les traitements de données, que les données soient ou non sous forme écrite ou électronique, et ce registre doit être mis à la disposition de votre autorité de contrôle locale lorsqu'elle le demande.
Préparation de l'article 30
Les fonctions commerciales pertinentes et les activités de traitement des données par des tiers doivent être identifiées et un registre des données personnelles doit être créé. Vos politiques et avis de confidentialité doivent être mis à jour et le personnel interne doit être mis au courant du GDPR en ce qui concerne leur titre de poste spécifique.
Dans un contexte plus large, le cœur du GDPR réside dans l'accent mis sur la responsabilité. Une chaîne de responsabilité doit être établie au niveau du département, de l'entreprise et de l'organisation afin de maintenir un traitement cohérent des incidents, des processus opérationnels et des activités de reporting. Vous pouvez en savoir plus sur l'importance de la responsabilité dans notre précédent blog ici.
Si vous souhaitez une aide supplémentaire pour votre projet GDPR, vous pouvez nous rendre visite lors de l'un de nos arrêts dans le cadre de notre tournée GDPR pour les nuls, qui se déroulera bientôt dans une ville proche de chez vous. Inscrivez-vous pour les petits-déjeuners d'information gratuits ici.
Nous avons également créé MetaPrivacy, une solution GDPR spécialement conçue pour aider votre entreprise à gérer l'article 30. Pour plus d'informations sur MetaPrivacy et nos autres ressources GDPR, rendez-vous ici.
