Politique d’inventaire des traitements de données à caractère personnel et de la base légale

La Politique d’inventaire des traitements de données à caractère personnel et de la base légale définit la manière dont une organisation tient à jour son inventaire des traitements de données à caractère personnel / ROPA et documente les faits essentiels nécessaires pour démontrer un traitement conforme au principe de responsabilité dans le domaine d’application du PIMS. Elle s’applique à toutes les activités de traitement de données à caractère personnel relevant du champ d’application, y compris les traitements effectués en qualité de responsable du traitement, de responsable conjoint du traitement, de sous-traitant ou de sous-traitant ultérieur. La politique couvre les traitements réalisés par des processus métier, systèmes, applications, fournisseurs, sous-traitants, sous-traitants ultérieurs et destinataires de partage de données, et elle s’applique aux traitements nouveaux, substantiellement modifiés et retirés. Un enregistrement d’inventaire des traitements est défini comme une entrée REG02 décrivant une activité de traitement de données à caractère personnel distincte, notamment sa finalité, son rôle, son propriétaire, les catégories de données à caractère personnel, les catégories de personnes concernées, la référence de base légale ou d’instruction du client, les systèmes, les destinataires, la référence de conservation, la référence de transfert, le statut du risque relatif à la vie privée et le statut de revue. Un objectif central de la politique est de faire de REG02 l’élément de preuve de référence pour l’inventaire des traitements de données à caractère personnel et les registres des activités de traitement. La politique exige qu’un responsable de processus ou un propriétaire de l’entreprise crée un enregistrement REG02 avant le début de tout nouveau traitement de données à caractère personnel et renseigne les champs requis avant le démarrage de l’activité. Elle exige également que le rôle PIMS de l’organisation soit classifié pour chaque activité, et elle relie les systèmes, applications, fournisseurs, sous-traitants, sous-traitants ultérieurs, partages avec des tiers et relations de responsabilité conjointe du traitement à l’enregistrement REG02 concerné. Cela crée un enregistrement structuré du traitement pouvant être relié, le cas échéant, aux mentions d’information, au consentement, à la DPIA, aux risques, aux fournisseurs, aux transferts, aux contrôles et aux éléments probants d’audit. Pour les activités réalisées en qualité de responsable du traitement, la politique exige que la finalité spécifique du traitement soit documentée avant que les données à caractère personnel soient collectées, utilisées, divulguées ou autrement traitées. Le responsable Protection des données / responsable du PIMS doit valider la base légale enregistrée dans REG02 avant le début du traitement par le responsable du traitement et avant toute prise d’effet d’un changement de finalité. La politique traite également des situations particulières : le consentement doit être relié à REG05, l’intérêt légitime doit faire référence à REG04, les catégories particulières de données à caractère personnel exigent une condition enregistrée, et les données relatives aux condamnations pénales ou aux infractions exigent une base d’autorisation. Dans les contextes de sous-traitant et de sous-traitant ultérieur, la politique exige que les références des instructions du client, la finalité du client, l’objet, la durée, les catégories de données à caractère personnel et les catégories de personnes concernées soient enregistrés avant le début du traitement, les éléments de preuve relatifs aux accords et aux instructions étant conservés dans REG08. La politique définit également la manière dont l’inventaire reste à jour. Les modifications substantielles du traitement comprennent les changements relatifs à la finalité, à la base légale, au rôle PIMS, à la catégorie de données à caractère personnel, à la catégorie de personnes concernées, au destinataire, au système, au fournisseur, au sous-traitant ultérieur, au lieu de traitement, au transfert, à la règle de conservation, à la classification de sécurité, à la mention d’information, à la dépendance au consentement, au statut de DPIA, à l’instruction du client ou au périmètre de certification. REG02 doit être mis à jour dans un délai de 10 jours ouvrables après l’identification d’une telle modification, et l’appréciation des risques relatifs à la vie privée ainsi que l’examen préalable à la DPIA doivent être lancés dans REG04 avant la poursuite d’un traitement nouveau ou substantiellement modifié. Le responsable Protection des données / responsable du PIMS rapproche REG02 de REG01, REG03, REG04, REG08 et REG09 chaque trimestre, tandis que les réviseurs Audit interne / conformité échantillonnent l’exhaustivité, l’exactitude et l’actualité lors des revues planifiées. La gouvernance, la mesure, les exceptions et la mise en application sont intégrées à la politique. Le responsable Protection des données / responsable du PIMS soumet des synthèses trimestrielles de l’état de santé de l’inventaire dans REG12, enregistre les indicateurs de l’inventaire, valide les nouveaux enregistrements REG02 et maintient les règles minimales relatives aux champs et à la cadence de revue. Top Management examine l’exhaustivité, les revues en retard, les problèmes majeurs de base légale et les non-conformités non résolues lors de la revue de direction. Les exceptions doivent être demandées et évaluées dans REG12, avec des dates d’expiration ne dépassant pas 90 jours, et certaines exceptions exigent l’avis du délégué à la protection des données / conseiller en protection des données ainsi que l’approbation du Top Management. La mise en application comprend l’enregistrement des non-conformités, la suspension des nouveaux traitements lorsque les éléments de preuve sont manquants, le blocage de la mise en production de systèmes ou de l’intégration des fournisseurs lorsque l’articulation requise est absente, ainsi que la vérification de l’efficacité des actions correctives.