Politique de collecte, d’utilisation, de divulgation et de partage des informations à caractère personnel

La Politique de collecte, d’utilisation, de divulgation et de partage des informations à caractère personnel définit les exigences opérationnelles applicables à la manière dont les informations personnellement identifiables sont collectées, utilisées, divulguées et partagées dans le domaine d’application du PIMS. Son objet déclaré est de veiller à ce que les informations à caractère personnel soient traitées uniquement pour des finalités documentées, approuvées, limitées et assorties d’une responsabilité établie. La politique s’applique aux contextes de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur, et couvre la collecte par des canaux directs, indirects, automatisés, manuels, internes, externes et tiers. Elle traite également de l’utilisation interne approuvée par les processus opérationnels, les systèmes et les applications, de la réutilisation pour des finalités nouvelles ou substantiellement modifiées, de la divulgation externe à des destinataires et à des tiers, ainsi que des modalités de partage de données récurrentes et des divulgations ponctuelles. Un élément central de la politique est l’utilisation de registres d’éléments de preuve afin de relier les décisions relatives à la protection des données à des enregistrements auditables. REG02 est utilisé pour l’inventaire des traitements d’informations à caractère personnel, les finalités approuvées, les règles de collecte, les règles d’utilisation et les tests de compatibilité relatifs à la réutilisation. REG08 est utilisé pour les enregistrements relatifs aux sous-traitants, aux sous-traitants ultérieurs et au partage de données, y compris l’identité du destinataire, le rôle du destinataire, la finalité de la divulgation, les catégories d’informations à caractère personnel, la fréquence de partage, le lieu du traitement et la source d’autorité. REG09 est utilisé lorsque le partage implique un nouveau pays, une organisation internationale, un lieu d’accès à distance, un lieu de destinataire ou un lieu de transfert ultérieur. REG12 est utilisé pour les exceptions, les non-conformités, les constats d’audit, les actions correctives, les points bloquants de mise en œuvre et les enregistrements de revue de la politique. La politique définit des points de contrôle clairs avant le début du traitement. Les responsables de processus ou les propriétaires de l’entreprise doivent enregistrer dans REG02 les finalités de collecte, les sources ou canaux, les catégories d’informations à caractère personnel, les catégories de personnes concernées et les éléments de données minimaux avant toute nouvelle collecte ou modification substantielle. Ils doivent également documenter une justification de nécessité pour chaque élément de données à caractère personnel avant la collecte. Les propriétaires de systèmes ou propriétaires d’applications ne peuvent mettre en œuvre que des champs de collecte, champs de workflow, rapports, exports ou sorties de divulgation approuvés correspondant à l’approbation REG02 ou REG08. Dans les contextes de sous-traitant, l’alignement sur les instructions du client doit être enregistré avant que les informations à caractère personnel du client soient collectées, utilisées ou divulguées. La réutilisation est traitée comme une décision gouvernée, et non comme une extension informelle d’une activité existante. Avant que les informations à caractère personnel soient utilisées pour une finalité qui n’est pas déjà approuvée dans REG02, le responsable de processus ou le propriétaire de l’entreprise doit enregistrer un test de compatibilité couvrant la finalité initiale, la finalité proposée, la dépendance à la base légale, les catégories d’informations à caractère personnel, les attentes des personnes concernées, la justification de minimisation, l’impact de la divulgation ou du transfert, ainsi que l’orientation vers d’autres politiques PIMS lorsque nécessaire. Le responsable de la protection des données ou le responsable du PIMS doit enregistrer une approbation ou un rejet avant le début de la réutilisation. Lorsque des partages récurrents sensibles, des personnes concernées vulnérables, des enregistrements à fort impact ou des attentes substantiellement modifiées sont en cause, l’avis du délégué à la protection des données ou du conseiller en protection des données doit être enregistré avant approbation. La gouvernance, la mesure et la mise en application sont intégrées dans la politique. Le responsable de la protection des données ou le responsable du PIMS revoit les règles d’utilisation approuvée au moins une fois par an, rapproche au moins annuellement les finalités approuvées dans REG02 avec les enregistrements de partage actifs dans REG08, et consigne les résultats dans REG12. Les responsables des fournisseurs ou de l’approvisionnement rapprochent au moins chaque trimestre les entrées de partage actives dans REG08 avec les relations actives avec les sous-traitants, sous-traitants ultérieurs, destinataires et partenaires de partage de données. Les auditeurs internes ou les réviseurs de conformité échantillonnent chaque année les éléments de preuve REG02, REG08 et REG09 et enregistrent les résultats dans REG12. Toute collecte, utilisation, divulgation ou partage non approuvé doit être enregistré comme une non-conformité dans un délai de cinq jours ouvrés, et le traitement peut être suspendu dans un délai d’un jour ouvré lorsque les éléments de preuve approuvés sont absents.