Politique de protection des données et de confidentialité

La Politique de protection des données et de confidentialité (P17) définit un cadre complet pour la protection des données à caractère personnel et la mise en œuvre des principes de protection des données dès la conception au sein de l’organisation. Cette politique établit les exigences organisationnelles et techniques obligatoires nécessaires pour se conformer aux normes internationales et aux cadres réglementaires en évolution, en garantissant que les données à caractère personnel sont traitées de manière licite, sécurisée et transparente tout au long de leur cycle de vie. La couverture s’étend à toutes les unités organisationnelles, à l'ensemble du personnel et aux systèmes qui traitent des données à caractère personnel, que ce soit sur des supports physiques ou numériques, et inclut les services cloud, les plateformes SaaS et les appareils mobiles. La politique est explicite quant à son champ d’application, en précisant que tous les employés, contractants et tiers sont soumis à ses exigences. Tous les environnements où résident des données à caractère personnel — production, développement, test ou systèmes de sauvegarde — sont inclus. La politique traite non seulement de la collecte, du stockage et de l’utilisation des données à caractère personnel, mais aussi de la conservation, de l’élimination, des transferts transfrontaliers et du traitement des droits des personnes concernées. Un objectif central de la politique est d’assurer la conformité avec les principales réglementations et normes : GDPR (articles 5, 6, 12–23, 25, 28, 30, 32–34 ; considérant 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (clauses 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (controls 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (divers contrôles) et COBIT 2019 (APO12, DSS01, DSS05, MEA). À cette fin, elle impose l’attribution de rôles et de structures de responsabilité : la Direction générale assure la supervision stratégique ; le DPO orchestre les processus de conformité, l’application des droits des personnes concernées et l’interaction avec les autorités de contrôle ; et les équipes Sécurité, Juridique et conformité, Propriétaires des données et Exploitation informatique mettent en œuvre conjointement des mesures de protection techniques et organisationnelles, tiennent des registres et gèrent les violations. La politique exige un cadre de gouvernance de la protection des données formel, intégré au Système de management de la sécurité de l'information (SMSI) de l’organisation pour une application cohérente. Elle définit les processus de tenue des registres des risques de protection des données, de réalisation d’analyses d’impact relatives à la protection des données (DPIA) pour les traitements à haut risque, et d’intégration approfondie des contrôles de protection des données (de la minimisation des données et de la pseudonymisation à la planification de la conservation et à l’élimination sécurisée). Le traitement licite et les fondements juridiques documentés sont fondamentaux, avec une gestion explicite du consentement, des inventaires de données et des flux de données transfrontaliers. Les demandes des personnes concernées sont traitées dans des délais définis et consignées pour assurer la traçabilité, et des cadres robustes de gestion des violations, de gestion des exceptions et de supervision des prestataires tiers de services sont décrits en détail. Des revues régulières, des pistes d’audit et une exigence d’audits internes annuels (ou ad hoc) contribuent à garantir que la politique demeure efficace et réactive aux évolutions réglementaires, aux constatations d'audit ou aux incidents majeurs. Chaque mise à jour significative doit être approuvée par la Direction et documentée dans le SMSI. Cette politique constitue une partie intégrante du système plus large de sécurité de l'information et de gestion des risques de l’organisation, et s’articule étroitement avec des politiques complémentaires relatives à la réponse aux incidents, à la gestion des risques, à la classification, à la conservation, au masquage des données et à la surveillance d’audit.