Depuis l’entrée en vigueur du RGPD, les organismes privés comme publics sont soumis à de nouvelles obligations visant à protéger les données personnelles des personnes physiques.
L’obligation principale émane de l’article 30 du RGPD et concerne le registre des traitements. En effet, depuis l’entrée en vigueur du RGPD, les organismes doivent recenser l’ensemble de leurs opérations de traitements de données personnelles. En d’autres termes, à partir du moment où des données personnelles (de salariés, d’agents, de clients, de fournisseurs, etc.) sont traitées par l’organisme, cette opération doit être enregistrée dans le registre des traitements. Data Legal Drive vous permet de facilement créer votre registre des traitements et de le maintenir à jour pendant toute la durée du traitement. Chacun des éléments de l’article 30 sont donc repris dans l’application et vous pouvez rapidement inscrire dans votre registre les éléments suivants :
- Le nom et les coordonnées du responsable du traitement/du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données (ou DPO). Sur Data Legal Drive, tout se passe dans le volet « Identification ». Pour rappel, un responsable de traitement est la personne morale ou physique qui détermine les finalités et les moyens d’un traitement. Le responsable de traitement décide de la constitution d’un fichier de données personnelles, détermine les finalités poursuivies et les moyens des traitements y étant consacrés. Il doit s’assurer qu’il recourt à des services, des plateformes et des systèmes conformes aux exigences de la réglementation, et les prestataires qui sont ses sous-traitants lui sont redevables de cette conformité. Les responsables conjoints de traitement sont les entités qui déterminent conjointement les finalités et les moyens d’un traitement. L’article 26 du RGPD leur fait obligation d’organiser ensemble, de manière « transparente », les obligations que chacune prend respectivement en charge pour assurer la conformité au RGPD du traitement concerné. Le DPO, quant à lui, est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés.
- Les finalités du traitement, c’est-à-dire la ou les raisons pour lesquelles les données sont collectées. Par exemple, dans le cadre d’un traitement de données lié à la gestion de la paie, le responsable de traitement traitera les données aux fins d’établissement des bulletins de paie. Sur Data Legal Drive, tout se passe dans le volet « Finalités ». Si vous souhaitez aller plus loin dans votre cartographie, vous avez également la possibilité de lister la base légale venant justifier votre traitement (par exemple pour le traitement relatif à la gestion de la paie, celui-ci est justifié par une obligation légale et est nécessaire à l’exécution du contrat de travail des salariés).
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel. Ainsi, dans le cadre d’un traitement de données lié à la gestion de la paie, le responsable de traitement traitera des données notamment d’identification, des données liées à la vie professionnelle et des données à caractère économique et financier, de ses salariés/agents. Sur Data Legal Drive, tout se passe dans les volets « Identification » (pour les catégories de personnes concernées) et « Données » (pour les catégories de données concernées par le traitement). Vous pouvez ainsi lister les catégories de données mais également aller plus loin dans votre cartographie et indiquer leur origine, le mode de collecte, leur emplacement de stockage.
- Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales. Ainsi, toujours dans le cadre du traitement lié à la gestion de la paie, les données seront communiquées en interne généralement à la direction générale, et les ressources humaines et en externe à l’établissement bancaire de l’organisme, la mutuelle, son expert-comptable, etc. Sur Data Legal Drive, tout se passe dans le volet « Destinataires« .
- Les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et lorsque ce tiers est situé en dehors de l’Union Européenne, les documents attestant de l’existence de garanties appropriées. Ainsi, si des données sont transférées par exemple à une société en Australie, il conviendra de l’indiquer dans votre registre, d’identifier cette société et les moyens mis en œuvre pour garantir la protection des données transférées (par exemple : la conclusion d’un Data Processing Agreement ou DPA). Sur Data Legal Drive, tout se passe dans le volet « Flux transfrontaliers » et vous avez la possibilité de renseigner le tiers concerné, le pays vers lequel les données sont transférées et la garantie mise en place.
- Les délais prévus pour l’effacement des différentes catégories de données. Le RGPD dispose clairement que, à quelques rares exceptions, les données ne peuvent être gardées indéfiniment. Un délai de conservation doit donc être déterminé et mis en place ou à tout le moins être déterminable sur la base de critères objectifs. Ces délais peuvent être imposés par la loi ou déterminés par le responsable de traitement. Sur Data Legal Drive, tout se passe dans le volet « Données« , dans lequel vous pouvez même renseigner un délai d’archivage et le type d’effacement prévue (manuel ou automatique). Petit rappel, la simple « fixation » de durées de conservation n’est pas suffisante. Elles doivent être concrètement implémentées au sein de l’organisme. Ainsi, s’il est indiqué que les données sont conservées 1 mois à partir de leur collecte, des process doivent être mis en place afin d’assurer cet effacement.
- La description générale des mesures de sécurité techniques et organisationnelles mises en place pour protéger les données personnelles recueillies. Le RGPD exige que les données soient sécurisées afin que seules les personnes pertinentes y aient accès. Ainsi, les données des salariés dans le cadre du traitement de gestion de la paie, pourraient être stockées dans un dossier sécurisé, accessibles uniquement via un mot de passe par les personnes rattachées aux ressources humaines. Sur Data Legal Drive, tout se passe dans le volet « Mesures de sécurité » qui reprend votre référentiel de mesures d’accès à votre bâtiment (telles qu’un badge, un code, un garde), le référentiel de vos logiciels rattachés au traitement (si par exemple dans le cadre de votre traitement Gestion de la paie vous utilisez un logiciel externe de gestion de la paie) et les mesures de sécurité rattachées au matériel que vous utilisez dans votre traitement (ordinateur, téléphone portable, etc.).
L’idée, derrière la création et le maintien de ce registre, est double :
- Avoir constamment une vision globale des traitements de données effectués par l’organisme, à savoir quelles sont les données collectées et traitées, pourquoi, sur quelle base, pour combien de temps, où vont-elles (en interne et en externe), comment sont-elles protégées ? La donnée est ainsi tracée et l’organisme est responsabilisé dans son traitement.
- Pouvoir, à tout moment, justifier de votre conformité aux dispositions du RGPD. Ainsi, en cas de contrôle de la CNIL (l’autorité en charge de veiller au bon respect du RGPD), vous ne rencontrerez aucune difficulté à démontrer la conformité de vos traitements.
