top of page
Bruno Lancien

Pivot de la stratégie de conformité : le Registre de traitement des données à caractère personnel

Toute organisation, entreprise, association, organisme de droit public ou de droit privé, doit tenir un registre de traitements, ou en tout cas il ou elle devrait le faire si la loi ne l'impose pas. Pour une raison simple : le traitement est la seule manière de vérifier la conformité légale d'une entité vis-à-vis de la législation.


La grille d'analyse de chaque traitement permet de définir les risques juridiques et techniques possibles, et vérifier l'adéquation des mesures de sécurité qui ont été prises en considération des risques. Sans cet outil de base et sa réactualisation à date régulière, il n'est simplement pas possible de valider un diagnostic de conformité.


Qui est en charge de cette actualisation ?


La démarche doit être menée sous l'égide du DPO, mais elle peut être réalisée par des référents dans l'organisation. L'essentiel est d'être en alerte constante et d'avoir une lecture la plus en amont possible des risques. C'est appliquer à la fois le principe du Privacy by design (analyser le traitement le plus en amont possible de son lancement) et garder en tête la règle générale de l'accountability qui veut que toute entité soit en mesure de démontrer sa bonne application des règles.


On est dans le principe d'une démarche d'amélioration continue, visant à collecter les traitements, identifier les risques, mettre en place des procédures ou des mesures de sécurité, et vérifier l'efficacité de ces mesures.


Identifier les traitements n'est pas nécessairement une tâche facile. Elle demande des échanges réguliers avec les responsables des directions métiers.  Il faut comprendre quels sont les objectifs opérationnels, quels sont ses projets, quels sont les fichiers de données à caractère personnel qu'elle exploite, et in fine identifier les traitements de données à caractère personnel qu'elle conduit dans ce cadre. Il faut également analyser l'écosystème d'acteurs qui gravite autour d'elle, qu'ils soient sous-traitants ou (co)responsables de traitement. Elle peut également agir elle-même en tant que sous-traitant pour le compte d'un client (responsable de traitement). Dans ce cas, il est nécessaire de disposer d'un registre de sous-traitance à disposition du responsable de traitement.


Il est donc aisé de comprendre qu'il est nécessaire de disposer d'une méthodologie pour conduire la démarche de manière structurée et continue. Elle s'inscrit dans une relation de confiance avec la Direction métier, en tenant compte de ses contraintes. Et bien entendu, il faut l'entier soutien du responsable de traitement, en général la direction générale de l'entité, pour que cette démarche puisse être menée de manière efficace et productive.


Comments


Merci de vous être abonné !

bottom of page