Politique d’exactitude et de qualité des données à caractère personnel

La Politique d’exactitude et de qualité des données à caractère personnel définit comment une organisation maintient l’exactitude, l’exhaustivité, le caractère à jour, l’adéquation et la pertinence des informations personnellement identifiables (PII) traitées dans le système de management des informations relatives à la vie privée. Son objet déclaré est de garantir que les données à caractère personnel utilisées par l’organisation restent exactes et adaptées aux finalités du traitement enregistrées dans le PIMS, et que les données à caractère personnel inexactes, incomplètes, obsolètes ou contestées sont rectifiées, synchronisées ou escaladées au moyen d’éléments de preuve maîtrisés. La politique s’applique aux contextes de responsable du traitement, responsable conjoint du traitement, sous-traitant et sous-traitant ultérieur, les obligations du responsable du traitement étant traitées comme prioritaires et les obligations du sous-traitant ou du sous-traitant ultérieur s’appliquant lorsque l’organisation prend en charge des instructions du responsable du traitement relatives à la rectification, à la synchronisation ou à l’exactitude. La politique est structurée autour de contrôles opérationnels pratiques plutôt qu’autour d’un programme autonome de qualité des données. Elle ne crée expressément pas de registre distinct de qualité des données, de fonction de gouvernance des données de référence, de cadre de qualité des données analytiques ni de cadre de qualité des données d’entraînement de l’IA. Elle intègre au contraire les exigences d’exactitude et de qualité dans les enregistrements et workflows existants du PIMS. REG02 sert à enregistrer la responsabilité de l’exactitude, la source faisant autorité, les indicateurs d’enregistrement à fort impact, la fréquence de revue de l’exactitude, les méthodes de contrôle de l’exactitude, les liens entre systèmes et les indicateurs de données obsolètes. REG06 est utilisé pour les réclamations de rectification émanant des personnes concernées et les éléments de rectification acceptés. REG08 prend en charge les répartitions entre responsables conjoints du traitement, les obligations d’assistance à la rectification du client, les canaux d’instruction autorisés, les éléments de preuve relatifs aux sous-traitants et sous-traitants ultérieurs, les notifications aux destinataires et les accusés de réception en aval. REG12 consolide le statut de surveillance, les lacunes, les exceptions, les non-conformités, les actions correctives et les éléments de preuve de revue de direction. Un élément central de la politique est le concept d’enregistrement à fort impact. La politique le définit comme un enregistrement de données à caractère personnel utilisé pour accorder, refuser, modifier ou affecter substantiellement l’accès à un service, un contrat, une question liée à l’emploi, un résultat financier, un résultat lié à la santé, une décision d’éligibilité, une décision d’identité, une décision de risque ou toute autre décision pour laquelle des données à caractère personnel inexactes pourraient affecter substantiellement une personne concernée. Ces enregistrements font l’objet de contrôles spécifiques : ils doivent être classifiés dans REG02 avant le début du traitement par le responsable du traitement puis chaque année, revus au moins une fois par an, et contrôlés avant toute utilisation lorsque les dates de revue sont dépassées. Les propriétaires de systèmes doivent identifier les indicateurs de données obsolètes pour les enregistrements système à fort impact avant la mise en production et dans les 30 jours suivant toute modification substantielle du système. Lorsque des problèmes d’exactitude à fort impact restent non résolus, se répètent ou dépassent les dates d’échéance approuvées, la politique exige leur escalade dans REG12 et, si nécessaire, auprès du Top Management. Le workflow de rectification relie le traitement des droits des personnes, la validation métier et la mise en œuvre technique. Les réclamations de rectification émanant des personnes concernées sont reliées depuis REG06 à l’activité de traitement REG02 affectée dans un délai de cinq jours ouvrés après attribution. Les éléments de rectification acceptés doivent être attribués à la fois au responsable de processus ou au propriétaire de l’entreprise et au propriétaire du système ou propriétaire d’application dans un délai de deux jours ouvrés après leur entrée en revue de fond. Le responsable de processus valide les rectifications proposées au regard de la source faisant autorité, de la finalité du traitement et de l’enregistrement REG02 courant dans un délai de 10 jours ouvrés, tandis que le propriétaire du système met en œuvre les rectifications approuvées dans le système source et enregistre l’achèvement dans REG06 et REG02 dans un délai de cinq jours ouvrés après approbation ou à la date d’échéance approuvée. La politique exige également un avis documenté avant tout refus de rectification, toute clôture d’un élément contesté ou toute décision de rectification à fort impact, et oriente les résultats limités à l’effacement, à la restriction de conservation, à la suppression ou à l’élimination vers le workflow associé lorsque la rectification seule n’est pas le résultat requis. La synchronisation et la supervision sont également traitées de manière explicite. Avant la mise en œuvre d’une rectification approuvée, les systèmes sources pertinents, applications liées, réplicas, interfaces et rapports doivent être identifiés dans REG02. Les rectifications approuvées doivent ensuite être synchronisées dans les systèmes dans le périmètre identifié, tandis que les destinataires, sous-traitants ou parties impliquées dans un partage de données sont suivis via REG08 lorsque des mises à jour en aval sont requises. Les indicateurs trimestriels comprennent le pourcentage d’activités de traitement REG02 à fort impact disposant d’une revue d’exactitude à jour, les éléments de rectification ouverts et en retard issus de REG06, ainsi que les échecs de synchronisation non résolus provenant de REG08 et REG12. Les exceptions doivent être demandées, évaluées, limitées dans le temps à 90 jours au maximum, puis clôturées ou réévaluées. La politique fait l’objet d’une revue annuelle et dans les 30 jours suivant toute modification substantielle d’ordre juridique, du traitement, du système ou du domaine de certification, les modifications substantielles étant approuvées par le Top Management avant publication.