La sous-section suivante décrit comment identifier les mesures techniques et organisationnelles appropriées lors de la détermination des moyens.
Alors que la détermination des finalités du traitement précise le “quoi” qui doit être réalisé par le traitement, la détermination des moyens précise “comment” cet objectif est atteint. À chaque étape de la détermination de ce “comment”, les principes et les exigences en matière de protection des données doivent être pris en compte.
On peut considérer que la détermination des moyens aboutit à un plan de mise en œuvre de l’activité de traitement. Il implique des ressources, des instructions ainsi que des mesures techniques et organisationnelles. Ces dernières sont destinées à mettre en œuvre les principes de protection des données. Pour une discussion détaillée des mesures qui mettent en œuvre les différents principes, voir la section des lignes directrices sur les principes (voir la section “Principes” de la partie II des présentes lignes directrices).
Gérer le processus de détermination des moyens
La détermination des moyens est souvent un processus substantiel qui implique généralement une multitude de personnes, de domaines d’expertise, d’unités organisationnelles ou de départements, et peut même faire appel à des consultants et des experts externes.
La principale (méta-) mesure organisationnelle consiste donc à mettre en place le processus de détermination des moyens de manière àce qu’il soit conforme à la protection des données dès la conception. Cette mesure est appelée “méta-mesure” car elle est destinée à identifier les mesures qui mettent effectivement en œuvre les principes de protection des données. La méta-mesure doit attribuer des responsabilités claires à la haute direction :
- La haute direction qui représente le responsable du traitement doit légalement contrôler ce processus et s’assurer que la protection des données est prise en compte de manière appropriée à chaque étape et dans chaque décision.
- La haute direction doit être en mesure de concevoir si les moyens déterminés (c’est-à-dire le résultat de ce processus) répondent effectivement de manière adéquate aux exigences de la protection des données.
- À la fin de ce processus, il incombe à la haute direction d’approuver les moyens déterminés et de donner le feu vert aux opérations de traitement proprement dites (le traitement lui-même).
Il existe différentes mesures (méta-) organisationnelles possibles poury parvenir. Quelques exemples sont énumérés ci-dessous :
- Chaque étape ou décision prise dans le cadre de la détermination des moyens doit décrire les exigences pertinentes en matière de protection des données et la manière dont elles ont été appliquées ou autrement satisfaites.
- Si une approche par étapes est choisie[1][2] , toute transition des points de passage doit être soumise à l’approbation des aspects liés à la protection des données.
- Il convient de désigner clairement les personnes chargées de déterminer si les exigences en matière de protection des données ont été respectées dans les différentes étapes.
- Le cas échéant, le délégué à la protection des données[3] doit être associé au processus.
- La documentation (continue) (c’est-à-dire la démonstration) de la prise en compte et de l’intégration de la protection des données devrait faire partie intégrante du processus. Cela sert à la fois à satisfaire le principe de responsabilité (voir art. 5, paragraphe 2, du RGPD) et à servir de base à la détermination par la direction supérieure de sa décision d’approuver formellement le résultat à utiliser sur le plan opérationnel (c’est-à-dire un feu vert pour le traitement lui-même).
Le processus de détermination des moyens nécessite inévitablement d’évaluer l’efficacité des diverses mesures (voir la discussion sur l’efficacité dans la section 4.4.3.7 ci-dessus). Cela nécessite généralement d’effectuer
- les évaluations des risques et
- des enquêtes sur l’état de l’art ou du marché.
Il convient de noter que l’outil formel prévu par le RGPD pour évaluer l’efficacité des mesures de protection des données est l’analyse d’impact sur la protection des données (AIPD, voir article 35 du RGPD) (voir “AIPD”, partie II, section “Principaux outils et actions”). Ses parties obligatoires contiennent à la fois l’évaluation des risques et la description des mesures. Le RGPD n’exige officiellement une évaluation des risques de données personnelles qu’en présence d’un risque élevé, mais elle peut être utilisée de manière informelle dans le cadre du processus interne. Une AIPD est également un outil de choix pour documenter la conformité à la protection des données dès la conception.
Au moins les grandes organisations ayant plusieurs activités de traitement distinctes peuvent bénéficier de l’utilisation d’une approche plus systématique de la détermination des moyens. Cela peut inclure les éléments suivants :
- L’utilisation de politiques de protection des données qui sont applicables à de multiples activités de traitement et peuvent ainsi apporter une économie d’échelle (voir art. 24(2) duRGPD).
- L’identification et l’application de codes de conduite applicables à l’ensemble du secteur peuvent permettre d’économiser des efforts et d’améliorer la qualité de la mise en œuvre (voir art. 24(3) duRGPD).
Le résultat final d’un processus réussi de détermination des moyens est une approbation claire et documentée des moyens et un feu vert de la haute direction qui représente le responsable du traitement. Le feu vert est nécessaire pour que le responsable du traitement puisse assumer la pleine responsabilité du traitement (voir l’article 29 du RGPD). Comme base supplémentaire pour la décision de feu vert, les responsables du traitement peuvent demander une certification formelle conformément à l’art. 42 du RGPD (voir art. 24(3) RGPD). La certification représente une attestation formelle de conformité avec le RGPD. Un feu vert documenté est une condition préalable au lancement de la phase opérationnelle du traitement (le traitement lui-même).
Évaluation de l’efficacité des mesures relatives aux principes de protection des données
Le processus ci-dessus doit adopter une approche systématique pour appliquer tous les principes de protection des données à toutes les décisions relatives aux moyens. En particulier, chaque principe doit être appliqué au moyen de mesures techniques et organisationnelles. Il convient de démontrer que ces mesures sont efficaces en ce qui concerne
- “les risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques que présente le traitement“,
- “le coût de la mise en œuvre“,
- “l’état de l’art“, et
- “la nature, la portée, le contexte et les finalités du traitement“.
(Voirsection ci-dessus).
Lorsque le risque est évalué (voir le premier point), un risque fondamental est que le principe soit violé ou insuffisamment garanti. Cela peut être le cas pour toutes les personnes concernées ou pour des groupes spéciaux ou des minorités. Les personnes concernées vulnérables qui ont été éventuellement identifiées lors de la détermination des finalités doivent être prises en compte (voir la section ).
Pour évaluer le troisième aspect de l’efficacité, il peut être nécessaire de réaliser des enquêtes sur l’état de la technique.
Une façon d’évaluer l’efficacité des mesures est d’utiliser une approche itérative très similaire à celle utilisée pour déterminer les objectifs (cf. Figure 3). Au lieu d’une version de la spécification de la finalité, c’est unplan de mise en œuvre concret qui est évalué. Ce plan comprend à la fois des ressources, des instructions et des mesures techniques et organisationnelles déjà prévues (voir la section “Principes” de la partie II des présentes lignes directrices). À chaque itération, l’efficacité des mesures est évaluée et le plan est amélioré en fonction des lacunes qui ont été identifiées. Le processus itératif s’achève lorsqu’un plan de mise en œuvre comportant des mesures efficaces a été trouvé.
Pour rendre ce processus systématique, chaque tâche qui aboutit à une décision sur les moyens doit être évaluée au regard de tous les principes. La section ci-dessus a donné un aperçu des tâches possibles. La ventilation précise de la détermination globale en tâches dépend toutefois de la nature, de la portée, du contexte et des finalités de l’activité de traitement. Il est donc nécessaire d’adapter la décomposition en tâches à la situation concrète.
- Voir par exemple, https://en.wikipedia.org/wiki/Phase-gate_process (dernière visite le 13/7/2021). ↑
- Notez que les étapes ne se limitent pas à la gestion “en cascade”, mais existent également dans les méthodes agiles, comme l’Agile Unified Process, voir http://www.ambysoft.com/unifiedprocess/aup11/html/phases.html (dernière visite le 13/7/2021). ↑
- Notez que le délégué à la protection des données ne porte pas la responsabilité directe de la conformité, mais qu’il est l’expert interne probablement le plus familier avec les exigences du RGPD (voir également l’art. 39(1)(a) à (c) du RGPD). ↑