Documentation supplémentaire relative à une seule activité de traitement
Home » RGPD » Principaux outils et actions » Documentation du traitement des données personnelles » Documentation supplémentaire relative à une seule activité de traitement

En plus des registres de traitement qui sont gérés de manière centralisée dans l’organisation, la ou les personnes responsables d’une activité de traitement spécifique doivent tenir une documentation supplémentaire. À cette fin, il est bon de mettre en place une méthode systématique de collecte de la documentation nécessaire, dès la conception et la planification de l’activité de possession[1] . Ce type d’information peut être demandé par les autorités de contrôle de la protection des données, soit à distance[2] , soit lors d’audits sur site[3] . Les actions nécessaires sont décrites dans les tableaux ci-dessous :

À FAIRE

  • La protection des données (comme la sécurité) est un processus, pas un état final. Documentez continuellement ce processus plutôt que de vous limiter aux caractéristiques finales de l’activité de traitement.
  • Lors de l’application de la protection des données dès la conception[4] , l’activité de traitement peut être considérée comme le résultat d’une série de nombreuses considérations et décisions. Ce sont ces considérations et décisions qui doivent être documentées.
  • Décider d’une structure et d’un format pour collecter systématiquement ces informations au moment où vous concevez votre activité de traitement.
  • Lorsque la documentation elle-même contient des informations personnelles (voir ci-dessous), veillez à les protéger suffisamment et à limiter leur utilisation ultérieure aux fins de la démonstration de la conformité au RGPD.

Cette documentation comprend au moins les éléments suivants, qui sont d’abord énumérés dans une liste de contrôle, puis décrits plus en détail par la suite.

Évaluer si l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques

Afin de déterminer si une analyse d’impact sur la protection des données (AIPD) est nécessaire pour une activité de traitement, il convient d’évaluer si le traitement est susceptible d’entraîner un risque élevé. Cette procédure a été décrite dans la section “Dans quels cas dois-je procéder à une analyse d’impact sur la protection des données” dans “Analyse d’impact sur la protection des données” ci-dessus. Elle est basée sur les lignes directrices du groupe de travail Article 29 et consiste en une évaluation booléenne de neuf critères. Il est important de la documenter, notamment pour justifier le cas où uneAIPD n’est pas nécessaire (voir “AIPD” dans la partie II, section “Principaux outils et actions” des présentes lignes directrices).

Une analyse d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif

Lorsqu’uneAIPD est nécessaire, l’AIPD elle-même fait partie de la documentation du traitement. Voir l’art. 35 du RGPD et l’analyse d’impact sur la protection des données ci-dessus pour plus de détails.

Consultation éventuelle de l’autorité de contrôle compétente avant le traitement

Lorsque l’AIPD indique que le traitement entraînerait un risque élevé même après atténuation par des mesures techniques et organisationnelles appropriées, le responsable du traitement consulte l’autorité de contrôle avant le traitement (voir l’art. 36(1) duRGPD). Cette consultation doit être documentée.

Exigences et tests d’acceptation pour l’achat et/ou le développement des logiciels, du matériel et de l’infrastructure employés

Conformément à l’art. 25 du RGPD, lorsqu’il détermine les moyens de traitement, un responsable du traitement doit prendre en compte les éléments suivants :

  • L’état de l’art,
  • le coût de la mise en œuvre,
  • la nature, la portée, le contexte et les finalités du traitement, et
  • les risques, de probabilité et de gravité variables, que présente le traitement pour les droits et libertés des personnes physiques.

Sur la base de cette évaluation, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées qui sont conçues pour mettre en œuvre les principes de protection des données, pour répondre aux exigences du RGPD et pour protéger les droits des personnes concernées.

Cette évaluation et les décisions prises doivent être documentées afin de respecter l’exigence de protection des données dès la conception (de l’article 25 du RGPD). En pratique, cela peut prendre la forme de :

  • Des exigences de protection des données spécifiées pour l’achat (par exemple, un appel d’offres) ou le développement de logiciels, de matériel et d’infrastructures,
  • des tests d’acceptation qui vérifient que les logiciels, les systèmes et l’infrastructure choisis sont adaptés à l’usage prévu et offrent une protection et des garanties adéquates.

Cette documentation peut faire partie intégrante de l’AIPD.

Mise en œuvre de mesures techniques et organisationnelles

La documentation comprend également les mesures techniques et organisationnelles qui sont mises en œuvre pour atténuer les risques liés à la protection des données et sauvegarder les droits et libertés des personnes concernées.

Les mesures de sécurité font également partie des registres de traitement (voir art. 30(1)(g) du RGPD) ; toutes les mesures mises en œuvre font partie de l’AIPD (voir art. 35(7)(d) du RGPD).

Tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles

Le RGPD met l’accent sur la protection des données en tant que processus. Cela est évident dans l’art. 32, paragraphe 1, point d), qui exige de tester, d’apprécier et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles, et l’art. 35(11) qui exige que le responsable du traitement procède à un examen pour évaluer si le traitement est effectué conformément à l’analyse d’impact sur la protection des données, au moins lorsqu’il y a un changement du risque représenté par les opérations de traitement. Ces tests, évaluations et examens récurrents sont documentés.

Exigences et tests d’acceptation pour la sélection des sous-traitants

Conformément à l’art. 28(1) du RGPD, le responsable du traitement ne fait appel qu’à des sous-traitants présentant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées. Cela nécessite un processus de sélection qui doit être documenté.

Contrats stipulés avec les sous-traitants

Conformément à l’art. 28(3) du RGPD, le traitement par un sous-traitant est régi par un contrat qui exige notamment la mise en œuvre de mesures et de garanties appropriées (voir points d et e) et le droit d’inspection et d’audit par le responsable du traitement (voir point h). Ces contacts font partie de la documentation.

Inspections et audits éventuels du sous-traitant

Lorsqu’un responsable du traitement inspecte ou audite un sous-traitant conformément à l’art. 28, paragraphe 3, point h), les mesures prises et leur résultat sont documentés.

Méthode de collecte du consentement

Un consentement valide exige le respect d’exigences strictes (voir art. 4(11) et 7 du RGPD). Lorsqu’un responsable du traitement choisit le consentement comme base légale pour (une partie du) traitement, la manière (par exemple, le dialogue) dont le consentement a été recueilli doit être documentée afin de démontrer que les exigences ont été satisfaites. Lorsque les dialogues changent au fil du temps, un versionnage qui enregistre le moment de la modification est nécessaire.

Démonstrations de l’expression individuelle du consentement

Selon l’art. 7(1), le responsable du traitement doit être en mesure de démontrer que les personnes concernées ont consenti au traitement de leurs données à caractère personnel. Cette exigence est examinée plus en détail par l’EDPB dans ses lignes directrices 05/2020 sur le consentement en vertu du règlement 2016/679[5] . Une façon possible de démontrer le consentement qu’ils décrivent est de “conserver des informations sur la session au cours de laquelle le consentement a été exprimé, ainsi que la documentation sur le flux de travail du consentement au moment de la session, et une copie des informations qui ont été présentées à la personne concernée à ce moment-là.”[6]

Cela montre que la documentation destinée à démontrer le consentement lui-même doit être considérée comme une donnée à caractère personnel. Elle doit donc être protégée de manière adéquate et son utilisation limitée à l’objectif de cette démonstration.

Informations fournies aux personnes concernées

Les art. 13 et 14 du RGPD exigent du responsable du traitement qu’il fournisse des informations adéquates sur le traitement aux personnes concernées. Pour démontrer la conformité, les informations effectivement fournies doivent être documentées. Là encore, un versionnage est nécessaire si les informations fournies changent au fil du temps.

Mise en œuvre des droits des personnes concernées

Les articles 15 à 22 obligent le responsable du traitement à accorder aux personnes concernées des droits spécifiques (comme par exemple le droit de rectification des données inexactes, ou le droit “d’être oublié”) (voir “Droits des personnes concernées” dans la partie II des présentes lignes directrices). En outre, lorsque le traitement est fondé sur le consentement, les personnes concernées ont le droit de retirer leur consentement à tout moment (voir art. 7(3) duRGPD). Pour démontrer la conformité, il est nécessaire de documenter la manière dont ces droits sont mis en œuvre[7] . Là encore, il peut s’avérer nécessaire de procéder au versionnage.

Traitement effectif des droits des personnes concernées

Lorsque les personnes concernées invoquent leurs droits, ceux-ci sont traités sans délai par le responsable du traitement. L’art. 12, paragraphes 3 et 4, précise les délais de réponse maximaux acceptables. Afin de démontrer la précision et la rapidité des actions entreprises et des réponses envoyées, une documentation est nécessaire. Là encore, cette documentation constitue des données à caractère personnel et doit être protégée de manière adéquate.

Notifications éventuelles de violations à l’autorité de contrôle compétente

L’art. 33 du RGPD exige la notification d’une violation de données personnelles à l’autorité de contrôle. Ces notifications font partie intégrante de la documentation.

Communication éventuelle des violations de données à la personne concernée

L’article 34 du RGPD exige la communication d’une violation de données personnelles à la personne concernée dans certaines conditions. Ces communications doivent être documentées. Elles contiennent probablement des données à caractère personnel qui doivent être protégées.

Toute autre communication avec l’autorité de contrôle compétente

Toute communication avec une autorité de contrôle doit être documentée. Cette communication peut par exemple être initiée par l’autorité de contrôle conformément à l’art. 31 duRGPD. La communication initiée par le responsable du traitement conformément à l’art. 36 a déjà été mentionnée ci-dessus. En outre, les délégués à la protection des données peuvent également consulter les autorités de contrôle conformément à l’art. 39(1)(e).

Liste de contrôle (documents supplémentaires relatifs à une seule activité de traitement)

Les éléments suivants doivent être documentés :

  • Évaluer si l’activité de traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques.
  • Évaluation d’impact sur la protection des données lorsque l’évaluation ci-dessus donne un résultat positif.
  • Consultation éventuelle de l’autorité de contrôle compétente avant le traitement.
  • Exigences et tests d’acceptation pour l’achat et/ou le développement du logiciel, du matériel et de l’infrastructure employés.
  • Mise en œuvre de mesures techniques et organisationnelles.
  • Tester, apprécier et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles
  • Exigences et tests d’acceptation pour la sélection des sous-traitants.
  • Contrats stipulés avec les sous-traitants.
  • Inspections et audits éventuels du sous-traitant.
  • Méthode de collecte du consentement.
  • Démonstrations de l’expression individuelle du consentement.
  • Informations fournies aux personnes concernées.
  • Mise en œuvre des droits des personnes concernées.
  • Traitement effectif des droits des personnes concernées.
  • Notifications éventuelles de violation à l’autorité de contrôle compétente.
  • Communication éventuelle des violations de données à la personne concernée.
  • Toute autre communication avec l’autorité de contrôle compétente.

 

  1. L’art. 25(1) du RGPD appelle cela “le moment de la détermination des moyens de traitement”.
  2. Voir article 58(1)(a) du RGPD.
  3. Voir article 58(1)(b) du RGPD.
  4. Voir art. 25 du RGPD.
  5. Section 5.1, pages 21 et 22 dans EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.0, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf (dernière visite le 11/05/2020).
  6. Voir à la fin du paragraphe 108.
  7. Le terme “mis en œuvre” n’implique pas l’automatisation ; le traitement manuel, par exemple par le délégué à la protection des données ou une autre personne désignée, peut être parfaitement acceptable.

 

Aller au contenu principal